بخشی از مقاله
چکیده
در دنیای امنیت امروزی، بر خلاف گذشته، ابزار های دفاعی مبتنی بر پایگاه داده که در آنها قوانینی برای شناسایی حملات تعریف شده است، کارایی لازم را ندارند و در تامین امنیت شبکه ها به مشکل بر خورده اند. از این رو ابزار دفاعی مبتنی بر الگوریتم های یادگیری ماشین که توانایی مقابله با پیچیده ترین نوع حمله ها را دارند، مورد توجه قرار گرفته اند. در این مقاله مدلی برای تشخیص نفوذ مبتنی بر ترکیب شبکه عصبی کوهنن و مدل مخفی مارکوف ارائه شده است که در آن دنباله ای از فراخوانی های سیتمی به عنوان دنباله ای از رفتار های صورت گرفته وارد مدل پیشنهادی می شود و با توجه به شباهت مدل های آموخته شده با رفتار های ورودی، نوع رفتار ها تشخیص داده شده و تصمیمات درست به عنوان خروجی اتخاذ می گردد. سپس این نوع رفتار برای تشخیص های بعدی در سیستم ذخیره می گردد. نتایج آزمایشگاهی نشان می دهد که تجزیه و تحلیلی که به وسیله سیستم تشخیص نفوذ پیشنهادی صورت گرفته از دقتی بالای 99 درصد برخوردار می باشد و بر روی حملاتی که به صورت مکرر به یک وب سرور انجام شده، به طور محسوسی موثر است.
-1 مقدمه
رشد روز افزون استفاده از خدمات شبکه های کامپیوتری از یک سو و حمله به شبکه های کامپیوتری از سوی دیگر باعث شده است که سیستم های تشخیص نفوذ یک به یک زمینه تحقیقاتی مهم درمسئله امنیت شبکه های کامپیوتری تبدیل شود. از طرفی ماهیت عمومی بودن شبکه های کامپیوتری موجب می شود که همواره در معرض انواع حملات جدید و ناشناخته باشند. برای تکمیل محافظت از این شبکه ها نیاز به راه حل هایی است که مخاطرات آنها به موقع شناسایی شوند تا راه حلی برای تهدید بوجود آمده اندیشه شود.
سیستم های تشخیص نفوذ در کنار دیوار های آتش پاسخی به این نیاز هستند. کارهای فراوانی در زمینه تشخیص نفوذ در دنیا انجام گرفته است. در این مقاله مسئله تشخیص نفوذ با ترکیب مدل مخفی مارکوف و شبکه عصبی کوهنن ارائه شده است. این مقاله ابتدا به بحث و بررسی سیستم های تشخیص نفوذ و روش های متفاوت آن، سپس به بررسی مدل مخفی مارکوف و شبکه عصبی کوهنن می پردازد در پایان با استفاده از ترکیب الگوریتم های مدل مخفی مارکوف و شبکه عصبی کوهنن یک راه حل مناسب برای این سیستم ارائه می شود.
-2 سیستم تشخیض نفوذ1
نفوذ به مجموعه اقدامات غیرقانونی که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر میاندازد، اطلاق میگردد. نفوذها میتوانند به دو دسته ی داخلی و خارجی تقسیم شوند. نفوذهای خارجی به آن دسته نفوذهایی گفته میشود که توسط افراد مجاز و یا غیرمجاز از خارج شبکه به درون شبکهی داخلی صورت میگیرد و نفوذهای داخلی توسط افراد مجاز در سیستم و شبکهی داخلی، از درون خود شبکه انجام میپذیرد.
نفوذگرهاعموماً از عیوب نرمافزاری، شکستن کلمات رمز، شنود میزان تردد در شبکه و نقاط ضعف طراحی در شبکه، سرویسها و یا کامپیوترهای شبکه برای نفوذ به سیستمها و شبکههای رایانهای بهره میبرند. به منظور مقابله با نفوذگران به سیستمها و شبکههای رایانهای، روشهای متعددی تحت عنوان روشهای تشخیص نفوذ ایجاد گردیدهاست که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکه رایانهای را بر عهده دارد. روشهای تشخیص مورد استفاده در سامانههای تشخیص نفوذ به دو دسته تقسیم میشوند:
1. روش تشخیص رفتار غیر عادی2
2. روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء 3
-1-2 روش تشخیص رفتار غیر عادی
در این روش، یک نما از رفتار عادی ایجاد میشود. یک ناهنجاری ممکن است نشان دهندهی یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل شبکههای عصبی، تکنیکهای یادگیری ماشین و حتی سیستمهای ایمنی زیستی استفاده میشود . برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آنها پیدا کرد. رفتارهایی که از این الگوها پیروی میکنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده میشود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی براینظارت وجود ندارد.
معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع میپیوندد، غیرعادی فرض میشود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا رایانهای که در ساعت 2:00 بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد میتواند به عنوان یک رفتار غیر عادی در نظر گرفته شود.
-2-2 روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء
در این تکنیککه معمولاًبا نام تشخیص مبتنی بر امضاء شناخته شدهاست، الگوهای نفوذ از پیش ساخته شده - امضاء - به صورت قانون نگهداری میشوند. به طوری که هر الگو انواع متفاوتی از یک نفوذ خاص را در بر گرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام میشود. در این روشها، معمولاً تشخیص دهنده دارای پایگاه دادهای از امضاءها یا الگوهای حملهاست و سعی میکند با بررسی ترافیک شبکه، الگوهای مشابه با آن چه را که در پایگاه دادهی خود نگهداری میکند، بیابد. این دسته از روشها تنها قادر به تشخیص نفوذهای شناخته شده میباشند و در صورت بروز حملات جدید در سطح شبکه، نمیتوانند آنها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سامانه تشخیص نفوذ اضافه کند. از مزایای این روش دقت در تشخیص نفوذهایی است که الگوی آنها عناًی به سیستم داده شدهاست.
-3 مدل مخفی مارکوف 4
مدل پنهان مارکوف یک مدل مارکوف آماری است که در آن سیستم مدل شده به صورت یک فرایند مارکوف با حالتهای مشاهده نشده - پنهان - فرض میشود. یک مدل پنهان مارکوف میتواند به عنوان سادهترین شبکه بیزی پویا در نظر گرفته شود. در مدل عادی مارکوف، حالت به طور مستقیم توسط ناظر قابل مشاهدهاست و بنابراین احتمالهای انتقال بین حالتها تنها پارامترهای موجود است. در یک مدل پنهان مارکوف، حالت بهطور مستقیم قابل مشاهده نیست، اما خروجی، بسته به حالت، قابل مشاهدهاست. هر حالت یک توزیع احتمال روی سمبلهای خروجی ممکن دارد. بنابراین دنبالهی سمبلهای تولید شده توسط یک مدل پنهان مارکوف اطلاعاتی دربارهی دنبالهی حالتها میدهد. توجه داشته باشید که صفت 'پنهان' به دنبالهی حالتهایی که مدل از آنها عبور میکند اشاره دارد، نه به پارامترهای مدل؛ حتی اگر پارامترهای مدل بهطور دقیق مشخص باشند، مدل همچنان 'پنهان' است. 10
-4 معماری مدل پنهان مارکوف
در شکل - 2 - معماری مدل مخفی مارکوف نشان داده شده است. هر شکل بیضی بیانگر یک مقدار متغیر تصادفی است. X - t - مقدار متغیر تصادفی است که مقدار پذیرش در واحد زمان مخفی است. O - t - مقدار متغیر تصادفی است که مقدار پذیرش در زمان t قابل مشاهده است. 11
