بخشی از مقاله
چکیده
امروزه یکی از مهم ترین مکانیزم های ایجاد امنیت شبکه ها و سیستم های کامپیوتری تشخیص نفوذ میباشد. در این مقاله روشی ترکیبی بر مبنای درخت تصمیم فازی و الگوریتم تکامل تفاضلی جهت تشخیص نفوذ ارائه شده است. درخت تصمیم، از جمله تکنیکهای طبقهبندی در دادهکاوی است که دارای دقت دستهبندی مناسب و قابلیت تفسیر بسیار خوبی میباشد. الگوریتمهای درخت تصمیم از روش جستجوی حریصانه محلی بوسیله بهره اطلاعاتی بهعنوان تابع هدف برای افراز مجموعه داده استفاده می کنند.
اگر درخت تصمیم به درستی مجموعهداده را طبقه بندی کند و حداقل تعداد گرهها را داشته باشد، بهینه نامیده میشود. ساخت درخت تصمیم بهینه، یک مسأله NP-Complete است. این حقیقت، منجر به استفاده از الگوریتمهای تکاملی و فازی میشود. در این مقاله، منطق فازی و الگوریتم تکامل تفاضلی جهت بهینهسازی درخت تصمیم و استفاده در تشخیص نفوذ به کار گرفته شدهاند. پایگاه داده استفاده شده در این مقاله، مجموعه داده kdd cup99 میباشد. نتایج آزمایشها بر روی این مجموعه داده نشان دهنده دقت بالاتر روش پیشنهادی نسبت به روشهای مقایسه شده است.
واژگان کلیدی: تشخیص نفوذ، درخت تصمیم فازی، تکامل تفاضلی
مقدمه
رشد روز افزون استفاده از خدمات شبکه های رایانه ای از یک سو و حمله به این شبکهها از سوی دیگر باعث شده است که تشخیص نفوذ به عنوان یک زمینه ی تحقیقاتی مهم در مسأله ی امنیت این شبکه ها مطرح شود. سیستم تشخیص نفوذ، ابزار امنیتی مؤثر وکارآمدی است که در شبکههای رایانه ای قرار میگیرد و با استفاده از یکسری قوانین از پیش تعریف شده، دسترسی کاربران را بررسی و محدود مینماید. این قوانین بر پایه ی دانش افراد متخصص حاصل شده است.
سیستم های تشخیص نفوذ، تمام نفوذهای کاربران را مورد شناسایی قرار میدهد و فعالیتهای لازم را برای توقف حملات اتخاذ میکند. مسألهی تشخیص نفوذ به طور وسیع در زمینه ی امنیت سیستم های رایانه ای مورد مطالعه قرار گرفته است واخیراً در زمینه های یادگیری ماشین و داده کاوی توجه زیادی به آن شده است. سیستم های تشخیص نفوذ، حملات شناخته شده و حملات بالقوه را در ترافیک شبکه و یا داده های بازرسی و یا فایل های گزارش - ثبت وقایع - ثبت شده را به وسیله ی میزبان ها جستجو میکند و اقدامات لازم را جهت حفاظت از سیستم انجام میدهد.
لازم به ذکر است که اولین منبع اطلاعات که سیستم های تشخیص نفوذ از آنها استفاده میکنند داده های بازرسی سیستم عامل می باشند. داده های بازرسی توسط بخشی به نام بخش بازرسی که زیرمجموعه ی سیستم عامل است تهیه می شود.داده های بازرسی دربرگیرنده ی اطلاعاتی درباره ی فعالیت های سیستم میباشد. این اطلاعات برحسب زمان مرتب شده اند و دریک یا چند فایل به نام فایل بازرسی ذخیره می شوند.
هرفایل بازرسی حاوی مجموعه ای از رکوردهای بازرسی است که هر یک بیان گر یک رویداد در سیستم هستند. این رکوردها توسط فعالیت های کاربر یا فرآیندها ایجاد میشوند. اولین نیاز سیستم های تشخیص نفوذ، وجود منبع اطلاعات است. این منبع اطلاعات، به عنوان تولیدکننده ی رویداد در نظرگرفته می شود.درسیستم های تشخیص نفوذ، این منابع اطلاعاتی با توجه به مکان شان دسته بندی میشود. با توجه به این معیار، دو دسته بندی کلی برای سیستم های تشخیص نفوذ وجود دارد.
مبتنی برشبکه: در این دسته، بسته های عبوری درسطح شبکه به عنوان منبع اطلاعات جمع آوری میشوند این عمل، با قرار دادن کارت شبکه در حالت بی قاعده صورت میگیرد. در این حالت چون سرآیند بسته های شبکه مورد بررسی قرار میگیرد، محدودیت نگاه به سرآیند بسته ها باعث میشود این سیستم ها قابلیت تشخیص دامنه ی محدود تری از حملات را داشته باشند. مبتنی بر میزبان: دادههای این نوع سیستم ها از فعالیتهای متنوع کامپیوترهای میزبان که شامل رکوردهای بازرسی سیستم عاملی، فایل های ثبت رخداد سیستمی، اطلاعات برنامه های کاربردی و غیره هستند، فراهم میشود. اطلاعات از منابع موجود در این میزبان ها جمع آوری میشود. این منابع شامل فایل های ثبت وقایع و داده های بازرسی هستند.
از آنجا که این سیستم ها از منابع خود دستگاه استفاده میکنند، باعث ایجاد سربار اضافی بر روی دستگاه میشوند، ولی از نظر تئوری، قابلیتتشخیص تقریباً تمام حملات را دارند. این سیستم های تشخیص نفوذ میتوانند در مورد نفوذی بودن یا نبودن یک کامپیوتر میزبان به دقت داوری کنند، زیرا داده های آنها از داده های مورد بازرسی سیستم و فایل های ثبت رخدادها در سیستم عامل به دست می آیند و در مقایسه با سیستم های تشخیص نفوذ مبتنی بر شبکه می توانند حملات داخل شبکه و میزبان های نفوذی را شناسایی نمایند. بعد از معرفی منابع اطلاعاتی، باید نوع تحلیل گر شبکه مشخص شود. در تحلیلگر، اطلاعات از منابع اطلاعاتی استخراج میشوند و با توجه به سیاست های امنیتی، انواع حملات مورد بررسی قرار میگیرند.
بر اساس تحلیلگر، دو نوع دسته بندی داریم: تشخیص رفتارغیرعادی: در این گونه سیستم ها تشخیص حمله به این صورت است که رفتار عادی سیستم را مدل میکنیم و رفتار و قواعد خاصی برای آنها در نظرگرفته می شود، رفتارهایی که از این الگوها پیروی کنند، عادی میباشد و رفتارهایی که مغایر با این الگوها هستند، به عنوان رفتا ر غیرعادی در نظر گرفته میشوند. این سیستم هامعمولاً دارای تعداد هشدار نادرست بالا هستند، ولی قابلیت تشخیص حمله های ناشناخته را نیز به سیستم میدهند. در این گونه دسته بندی، سیستم یک مرز نرمال از الگوهای متعارف استفاده از سیستم برای خود ترسیم و تعریف میکند. هر رفتار و رویدادی که به میزان زیادی از این الگوها دور باشد به عنوان اخلال گر محتمل بر شبکه در نظر گرفته می شود.
تشخیص سوء استفاده: در این حالت، الگوهای نفوذ از پیش ساخته شده ، به عنوان قانون نگهداری می شوند .در واقع، در این حالت، هدف، تشخیص حملات شناخته شده به همراه تغییرات کوچک در آنها می باشد .از مزایای این روش، دقت در تشخیص حملات شناخته شده وکاهش هشدارهای نادرست می باشد .این سیستم، توانایی تشخیص حملات ناشناخته را ندارد.ساختار این مقاله به این ترتیب میباشدکه بعد از مقدمه کارهای انجام شده معرفی میشود، وبعد درخت تصمیم فازی ودرادامه ان به معرفی الگوریتم تکامل تفاضلی میپردازیم. و درگام بعدی روش تحقیق به تفصیل توضیح داده می شود و بعد از ان یافته ها و درنهایت، بحث و نتیجه گیری کلی بیان می گردد.
کارهای انجام شده تحقیقات بسیاری در زمینه سیستم های تشخیص نفوذ انجام شده است، با هدف افزایش دقت تشخیص نفوذ روشی ترکیبی مبتی بر MCLPو PSO ارائه نموده اند که نتایج نشان دهنده بالا بودن دقت روش پیشنهادی است. از ترکیب دو الگوریتم K-MEANS و الگوریتم ماشین بردار پشتیبان جهت انتخاب ویژگی و استفاده در سیستم تشخیص نفوذ، استفاده نمودهاند، جهت ارزیابی روش پیشنهادی در این مقاله، از مجموعه دادهKDD Cup 99 استفاده شده و نتایج ارزیابیها، نشاندهنده کارایی بالای روش پیشنهادی است.
با هدف افزایش دقت تشخیص نفوذ، یک سیستم تشخیص نفوذ آنلاین را با استفاده از تئوری راف و الگوریتم Q-learning ارائه نمودهاند. نتایج نشان دهنده بالا بودن دقت روش پیشنهادی است. روش جدیدی را در دو مرحله پیش پردازش و طبقهبندی، برای تشخیص حمله، ارائه نموده-اند. در این مقاله از مجموعه داده مورد استفاده در تحقیق حاضر، استفاده شده و از نتایج آن برای مقایسه، استفاده شده است. به کاربرد منطق فازی در سیستم تشخیص نفوذ پرداختهاند. طبق نتایج تحقیق ترکیب منطق فازی وقوانین انجمنی در تشخیص نفوذ، نرخ تشخیص نیز افزایش یافته است.
از درخت تصمیم در سیستم تشخیص نفوذ، استفاده شده و با ماشین بردار پشتیبان، مقایسه شده و ثابت شده است که در این کاربرد، درخت تصمیم جواب بهتری نسبت به ماشین بردار پشتیبان دارد. طبق بررسیهای صورت گرفته در این مقاله، تا کنون از درخت تصمیم فازی در سیستم تشخیص نفوذ استفاده نگردیده است و صرفاً از درخت تصمیم در این زمینه استفاده شده است. در مورد استفاده از منطق فازی نیز برای مسأله تشخیص نفوذ، از روشهای فازی مبتنی بر الگوریتم ژنتیک یا روشهای خوشهبندی یا شبکه عصبی فازی استفاده شده است بنابراین در این مقاله برای حل کاستی های موجود، از ترکیب الگوریتم های تکامل تفاضلی و درخت تصمیم فازی در سیستم تشخیص نفوذ استفاده کردیم که به بهبود دقت خوبی نسبت به کارهای پیشین دست یافتیم.
درخت تصمیم فازی
درخت تصمیم فازی مدلی ترکیبی برای دسته بندی داده هاست که هدف آن ترکیب درخت تصمیم نمادین با استدلال تقریبی ارائه شده توسط نمایش فازی است.
