بخشی از مقاله
چکیده
از آن جایی که سیستم تشخیص نفوذ قادر به شناسایی حملات هستند، ولیکن نمی توانند دید روشنی از آن حملات را به تحلیل گر ارائه دهند و موجب می شود تا این ضعف سیستمهای تشخیص نفوذ، که ناشی از تولید هشدار و برجسته نشان دادن حملات واقعی می باشد، امری ضروری گردد. تکنیک های کاهش هشدارهای تولید شده توسط سیستم تشخیص نفوذ، ضمن آن که توجه بسیاری از محققان را به خود جلب نموده، باعث تحقیقات بسیاری نیز شده است. هدف اصلی پژوهش های انجام شده، کاهش هشدارهای کاذب و مطالعه ی علت های ریشه ای آن می باشند. در این مقاله، راهکاری بهینه بهمنظور کاهش هشدارهای کاذب در سیستم تشخیص نفوذ با استفاده از ماشین بردار پشتیبان بیان شده است. حاصل نتایج این پژوهش، بهبود درصد کاهش هشدارهای کاذب را بهدنبال خواهد داشت.
کلمات کلیدی: ماشین بردار پشتیبان، سیستم تشخیص نفوذ، هشدارهای کاذب.
.1 مقدمه
سیستم تشخیص نفوذ، به عنوان یک اقدام متقابل برای حفظ تمامیت داده ها و در دسترس بودن سیستم مورد استفاده قرار می گیرد. تشخیص نفوذ، یک فرآیند جمع آوری دانش مربوط به نفوذ در روند نظارت بر حوادث و تجزیه و تحلیل آن ها برای ورود به سیستم می باشد. از این رو، شناسایی نفوذ براساس منابع مختلفی ازجمله، کسب اطلاعات و وقایع شکل می گیرد. هم چنین، تشخیص سوءاستفاده و تشخیص ناهنجاری، باتوجه به روش تشخیص نفوذ معمولاً در دو مرحله طبقه بندی می شوند. مرحله اول، اصل تشخیص سوءاستفاده و در مرحله دوم، اصل تشخیص ناهنجاری جهت نمایه شبکه در وضعیت عادی میباشد.
بنابراین تأثیر ناشی از بررسی هشدارها میتوانند خسارتهای جبرانناپذیری را از لحاظ امنیتی و اقتصادی بههمراه داشته باشند . یکی از محدودیتهای عمده، تعداد بی شماری سیستمهای هشدار1، بهخصوص هشدارهای کاذب2 است، که در طول تشخیص تولید می شوند. از این رو، باتوجه به این که چهار نوع آثار شامل: -1 مثبت صحیح3، -2 مثبتکاذب4، -3 منفیصحیح و -4 منفیکاذب وجود دارد. هر اثر غیرقابل تشخیص، به عنوان یک اثری مخرب و یا خوش خیم به نحو احسن، کاهش مثبت کاذب و منفیکاذب را تعیین میکنند. چنان چه اعتبار مبتنی بر رأیگیری وزن به چهار جزء تقسیم شود، میتواند ابتدا نظر به تشخیص گذشته، اعتبارسازی و مدل های اعتبار با عنوان سیستم تشخیص نفوذ را مورد بررسی قرار دهد؛ سپس انتخاب مقامات تشخیص تعیین میشوند؛ پس از آن رأی دهندگان مانع خروج سیستم های تشخیص نفوذ که در تشخیص گذشته ضعیف انجام شده اند، می گردند؛ و در نهایت، تاریخ و زمان آخرین رأی گیری وزن که در آن اثر تعیین تعلق دارد، ثبت میشود. فرکانس مثبتکاذب و منفیکاذب اغلب در سیستم تشخیص نفوذ بالا میباشد.
ماشین بردار پشتیبان1، یکی از مدلهای تحت نظارت است که بهرهوری و طبقهبندی بالاتری نسبت به دیگر مدلهای طبقهبندی شده را دارد. اما باتوجه به زمان آموزش بیشتر برای مجموعه داده های بزرگ، استفاده آن محدود است و از این رو بسیاری از تکنیکهای انتخاب ویژگی ماشین بردار پشتیبان یکپارچه، برای بهدست آوردن اطلاعات کاهش مییابد، که این نتایج در زمان آموزش کمتر برای طبقهبندی کاربرد دارد. یک زیرمجموعه بهینه برای ویژگی های ساخت و ساز به منظور فرآیند انتخاب هریک و محاسبه نمره که از ویژگی های احتمالی، براساس یک روش انتخاب خاص و شناسایی بهترین ویژگی میباشد، استفاده می کند که این روش با ایجاد یک لیست رتبهبندی شده از ویژگیها و معیار انتخابهای مختلف، میتواند بهعنوان یک ویژگی زیرمجموعه محاسباتی درنظر گرفته شود. در این مقاله، به منظور کاهش هشدارهای کاذب در سیستم تشخیص نفوذ، راهکاری با استفاده از ماشین بردار پشتیبان پیشنهاد شده است. هم چنین در بخش 2، به راه کاری پیشین، سپس در بخش 3، روش پیشنهادی و پس از آن در بخش 4، ارزیابی و بحث و در بخش 5، نتیجهگیری و کارهای آینده پرداخته شده است.
.2 راهکارهای پیشین
در تحقیق دِواراج و همکاران اش در سال 2018، یک سیستم تشخیص نفوذ، با نظارت بر ترافیک داده در زمان واقعی، به منظور حفاظت در برابر این حملات مطرح شده است. در این مقاله یک دستگاه بردار پشتیبانی برای تشخیص نفوذ در شبکههای مشبک بیسیم ارائه گردیده است. متغیرهای غیرمستقیم و نامناسب در دادههای تحت نظارت بر صحت تشخیص حمله توسط سیستم، تأثیر میگذارد. از این رو، تکنیکهای انتخاب ویژگی برای بهبود عملکرد سیستم ضروری هستند. در این مقاله یک سیستم تشخیص نفوذ جدید با انتخاب ویژگیهای مبتنی بر الگوریتم ژنتیک و چندین طبقهبندی کننده پشتیبانی از برندهای شبکه برای شبکههای مش2 ارائه شده است. سیستم پیشنهادی، ویژگیهای آموزنده هر گروه از حملات را بهجای ویژگیهای مشترک برای همه حملات انتخاب می نماید. نتایج تجربی این تحقیق نشان داده است، دقت بالا در تشخیص حمله را بههمراه داشته است و برای شناسایی نفوذ در شبکههای مشبک بیسیم مناسب میباشد.[1]
در تحقیق ایساک و همکارش در سال 2018، به بررسی دو سیستم تشخیص نفوذ منبع باز، یعنی Snort و Suricata برای تشخیص دقیق ترافیک مخرب در شبکههای کامپیوتری پرداخته شده است. Snort و Suricata بر روی دو کامپیوتر مختلف قرار گرفتند و عملکرد آن ها با سرعت 10 گیگابیت در ثانیه مورد بررسی قرار گرفت. در این آزمایش مشخص گردید، Suricata میتواند سرعت بیشتری از ترافیک شبکه را از Snort با سرعت پایینتر، بستهبندی کند؛ اما از منابع محاسباتی بالاتر استفاده میکند. Snort دارای دقت بالای تشخیص بوده و به این ترتیب برای آزمایشهای بیشتر انتخاب شده است. هم چنین مشاهده شده است، Snort باعث افزایش شدید هشدارهای مثبت کاذب شده و برای حل این مشکل یک پلاگین انطباقی Snort توسعه داده شده است. برای انتخاب بهترین الگوریتم انجام شده برای پلاگین انطباق Snort، یک مطالعه تجربی با الگوریتمهای یادگیری مختلف نیز انجام شده است ماشین بردار پشتیبان انتخاب گردید.
نسخه ترکیبی SVM و منطق فازی دقت تشخیص بهتر را تولید کرد، اما بهترین نتیجه با استفاده از یک SVM بهینه شده با الگوریتم کرم شبتاب با نرخ مثبت کاذب با %8/6 و نرخ منفی کاذب با %2/2 بهدست آمد. نوآوری این کار، مقایسه عملکرد دو سیستم تشخیص نفوذ با سرعت 10 گیگابیت در ثانیه و استفاده از الگوریتمهای ترکیبی و بهینهسازی ماشین برای Snort است.[2] در تحقیق انجام شده توسط آل یاسین و همکاران اش در سال 2017، یک مدل تشخیص نفوذ واقعی در تجزیه و تحلیل داده و طبقهبندی دادههای شبکه، نسبت به رفتارهای طبیعی و غیرطبیعی ارائه شده است. در این مطالعه، مدلهای تشخیص نفوذ هیبریدی1 چندسطحی با استفاده از ماشین بردار پشتیبان و یادگیری ماشین2 در راستای بهبود بهره وری از تشخیص حملات شناخته شده و ناشناخته پیشنهاد گردیده است. هم چنین در این تحقیق با استفاده از الگوریتم اصلاح شده K-Means، یک مجموعه داده آموزش کوچک به نمایندگی از کل مجموعه داده آموزش اصلی ساخته شده است، که بهطور قابلتوجهای کاهش زمان آموزش طبقه بندی و بهبود در عملکرد سیستم تشخیص نفوذ را نشان می دهد. نتایج حاصل از این تحقیق، راندمان بالا در تشخیص حمله و دقت با میانگین %95/75 را در نحوه عملکرد به همراه داشته است.[3]
در تحقیق لیسکانو و همکاران اش در سال 2017، یک تکنیک تشخیص نفوذ سازگار و قوی را با استفاده از الگوریتم ژنتیک مبتنی بر فوق گراف HG-GA، برای تنظیم پارامترها و انتخاب ویژگی در ماشین پشتیبانی ارائه میکند. ویژگی این الگوریتم برای تولید جمعیت اولیه به منظور جستجوی سریع راهحل بهینه و جلوگیری از تله در حداقلها ی محلی مورد بهرهبرداری قرار گرفته است. HG-GA با استفاده از یک تابع اهداف وزن برای حفظ تجارت بین حداکثر رساندن میزان تشخیص و به حداقل رساندن میزان هشدار اشتباه همراه با تعداد مطلوب ویژگیها می باشد. عملکرد ماشین بردار پشتیبان HG-GA با استفاده از دادههای نفوذ NSL-KDD تحت دو سناریو: تمام ویژگی و ویژگیهای آموزنده به دست آمده از HG-GA مورد ارزیابی قرار گرفته است. نتایج تجربی نشان داده است، ماشین بردار پشتیبان HG-GA بر تکنیکهای موجود را از لحاظ دقت طبقهبندی، میزان تشخیص، میزان هشدار اشتباه و تجزیه و تحلیل زمان اجرا نشان داده است.[4]
در تحقیق ولید بولجلول و همکاراناش در سال 2015، به تشریح توسعه نرمافزارهای نوآورانه با بهرهگیری از کیفیت سرویس3 ، و فن آوری موازی در کاتالیست سیسکو سوئیچ برای افزایش عملکرد تحلیلی یک سیستم تشخیص و حفاظت از نفوذ شبکه، زمانیکه در شبکههای سرعت بالا مستقر شدهاند، پرداخته است. در این تحقیق، آنها ضعف سیستم پروتکل تشخیص نفوذ مبتنی بر شبکه را مورد ارزیابی قرار داده اند. نتایج حاصل از آزمایشات نیز نشان می دهد، با استفاده از فن آوری های کیفیت سرویس، پیکربندی در یک کاتالیست سیسکو3560 سری سوئیچ و Snort موازی، به منظور بهبود عملکرد سیستم پروتکل تشخیص نفوذ مبتنی بر شبکه و همچنین تعداد بسته، کاهش یافته است.[5]
در تحقیق انجام شده توسط مفرازخان و همکاراناش در سال 2014، یک روش واریانس ماشین بردار پشتیبان جهت کنترل ابر صفحه4 ، ازطریق ماتریس کو-واریانس5تخمین زده، از داده های آموزشی ارائه شده است. در روش پیشنهادی، یک مسئله بهینه سازی مخرب و یک راهحل بهینه کلی در راستای کمک به روشهای عددی موجود بیان گردیده است. در این روش، ساختار اصلی یک کلاس ماشین بردار پشتیبان می تواند بهراحتی در کتابخانه موجود اجرا شود. در نتایج این تحقیق آمده است، عملکرد طبقه بندی به طور قابلتوجهای بهبود یافته است.[6]
.3 روش پیشنهادی
طبقهبندی نقش مهمی در تشخیص الگو ایفا میکند. هدف از طبقهبندی ماشین بردار پشتیبان، مشخص کردن وقایع برروی ویژگیهای پیشفرض است. طبقهبندیهای متعدد به منظور طبقهبندی کیفیت قدرت مانند، ماشین بردار پشتیبان، منطقفازی، با در نظر گرفتن هدف نهایی برای به دست آوردن نتایج عالی از مرز تصمیمگیری، راه نادرست این است که به حداقل رساندن سطح خطا برای کاهش خطای متوسط باشد.
