مقاله سیستم تشخیص نفوذ مبتنی بر شبکههای عصبی و منطق فازی در محاسبات ابری

بخشی از مقاله

چکیده

محاسبات ابری یک محیط فعال برای دسترسی به منابع مشترک است. در این محیط یکی از مهمترین مسائل و نگرانیها، امنیت است. برای ایجاد امنیت و حفظ حریم خصوصی از سیستم تشخیص نفوذ استفاده میشود. سیستم تشخیص نفوذ میان حملات و فعالیتهای عادی تفاوت قائل میشود و جلوی حملات به محیط ابر را میگیرد و با ایجاد هشدارهایی آنها را به مدیران و ارائهدهندگان ابر خبر میدهد. سیستم تشخیص نفوذ با راهحلهای مختلفی پیادهسازی میشود.

یکی از این روشها ترکیب شبکه عصبی و منطق فازی است. شبکه عصبی دقت تشخیص بالایی دارد و منطق فازی برای ویژگیهای مختلف استفاده میشود و قدرت کلاستر بندی دارد. در این مقاله روشهای مختلف شبکه عصبی و منطق فازی بررسی میشود و نقاط قوت و ضعف آنها بیان میشود و در انتها سیستم تشخیص نفوذ پیشنهادی را از نظر دقت تشخیص، هشدارهای مثبت غلط، قرارگیری در مناطق گسترده ای مانند ابر، بررسی میشود.

-1 مقدمه

امروزه رایانش ابری مکانیزم در حال ظهور برای محاسبات سطح بالا است و به عنوان یک سیستم ذخیرهسازی تلقی میشود - طالبی و ختن لو، . - 1391 مسئله امنیت در رایانش ابری یکی از مسائل پیچیده به شمار رفته که تمامی سه لایه ابر، ارائهدهندگان و حتی شخص ثالث را درگیر میکند. برای چنین محیطهایی سیستم تشخیص نفوذ میتواند استفاده شود تا امنیت به وسیله یک مکانیزم سیستمی پایه، پیکربندی و در ترافیک شبکه استفاده شود - More & Suryawanshi, .2014 - تشخیص نفوذ یک پروسه بر روی کامپیوتر های داخل شبکه میباشد تا واردههای غیرمجاز و فعالیتها و فایل های تغییر دادهشده را شناسایی کند.

- Patel, Taghavi, Bakhtiyari & Júnior, 2013 - سیستم تشخیص نفوذی که در محیط ابر قرار میگیرد، باید دارای تعدادی خصوصیات مانند گسترش پذیر، توزیعپذیر، معماری قابلانعطاف و تکنیکهای مبتنی بر رفتار و مبتنی بر دانش باشد . - Kholidy, et.al,2012 - برای نائل شدن به این هدف از روشی که ترکیبی از شبکه عصبی و منطق فازی است استفاده میکنیم. شبکههای عصبی از عناصر عملیاتی سادهای ساخته میشوند که به صورت موازی در کنار هم عمل میکنند، اجزای اصلی شبکههای عصبی شامل نورون، توابع انتقال و لایهها است.

انواع مختلف شبکههای عصبی که شامل بدون ناظر و نظارت شده یا ایستا و پویا را بررسی میکنیم و نقاط ضعف و قدرت آن را مرور میکنیم تا بهترین نوع آن برای سیستم ابر در نظر بگیریم - کیا، - 1393؛ اما شبکه عصبی به تنهایی و به خوبی قادر به قرار گرفتن در محیط گسترده و پیچیده ابر نیست. به همین منظور منطق فازی نیز برای ایجاد سیستم تشخیص نفوذ استفاده میشود در ادامه تعریفی از منطق فازی و ساختار آن ارائه میدهیم و روش ترکیبی را به کمک شبکه عصبی و منطق فازی معرفی میکنیم که شامل کلاستریگ و مدل ANFIS است و به بیان نقاط ضعف و قوت شبکه عصبی و منطق فازی میپردازیم. در بخش نتیجهگیری مدلهای مختلف از ترکیب شبکه عصبی و منطق فازی را بیان کرده و از نظر قرار گیری در محیط ابر، دقت تشخیص و نرخ هشدارها مثبت غلط را در این روش بررسی میکنیم.

1-1 مروری بر کارهای انجام شده

خانم اخلاقی راد در سال 1391 از روشهای شبکه عصبی مصنوعی بدون ناظر SOM برای تشخیص ناهنجاریها بر اساس نمایههای نرمال در IDS کرد. در این سیستم برای افزایش سرعت و ساده کردن IDS از روش محاسبه آنتروپی ویژگیها استفاده شد. پس از محاسبه، ویژگیهایی که دارای کمترین مقدار آنتروپی هستند، انتخابشده و به شبکه عصبی داده میشود - اخلاقی راد، قاسم زاد ورضائیان، . - 1391 در سال 2014، Gaidhane یک IDS ترکیبی مبتی بر شبکههای عصبی و بردار پشتیبان جهت شناسایی حملات ناشناخته و تغییریافته استفاده کرد.  در شبکههای عصبی کشف حملات PROBE، %82.4 و در بردار پشتیبان %83.8 است که با ترکیب این دو روش به کارایی 97.4 در صد میرسیم - Gaidhane, Vaidya & .Raghuwanshi, 2014 - آقای Akramifard از یک شبکه عصبی چندگانه فازی استفاده کرد که کارایی و دقت زیادی در تشخیص نفوذ دارد.

در این روش از یک Min-Max چند سطحی برای دستهبندی کردن IDS ها استفاده میشود.   با استفاده از این روش، فعالیتهای جنایتکاران مانند دسترسیهای غیرمجاز و تغییر رفتار کاربران طبقهبندی میشود - Akramifard, .Khanli, Balafar & Davtalab, 2015 - آقای Ganeshkumar از یک سیستم تشخیص آنومالی با ردیابهای hypervisor در محیط ابر استفاده کرد، این ردیابها با ANFIS طراحیشدهاند.  روش ANFIS از ترکیب الگوریتم پس انتشار با گرادیان نزولی و حداقل مربعات برای آموزش و تست سیستم استفاده میکند. این روش آنومالیها را با دقت بالا تشخیص داده و نرخ منفی غلط کمی دارد و همچنین در مجموعهای از دادههای بزرگ به خوبی کار میکند

-2 حمله یا نفوذ چیست؟

نفوذ مجموعه غیرقانونی و مخرب از فعالیتهاست که به شکل متوالی و مرتبط باهم و برای تسلط به یک سستم صورت میپذیرد . - Akramifard, et.al, 2015 - حملات به نوعهای مختلف تقسیم می شوند مانند حملههای ظاهری که به حملهای اطلاق میشود که یک کاربر قانونی از منابع، جعل هویت میکند. این حمله در PAAS1 اتفاق میافتد. حملههای مبتنی بر میزبان میتوانند نتیجه یک حمله ظاهری باشند و در رفتار کاربران قابلمشاهده هستند. این حملهها در SAAS2 اتفاق میافتد. حملههای مبتنی بر شبکه، هشدارهای سیستم تشخیص نفوذ را با توجه به امضاها و هدف خلاصهسازی و فشردهسازی میکند. سیستم تشخیص نفوذ ابر این حملات را از طریق آنالیز بستههای شبکه تشخیص میدهد. این حمله در IAAS3 اتفاق میافتد - . - Kholidy, et.al, 2012 حملات با معیارهای مختلفی ارزیابی میشوند مانند؛

·    مثبت درست :4 - TP - اگر حملهای در سیستم اتفاق بیافتد، سیستم به درستی تشخیص میدهد که حمله اتفاق افتاده است.

·    منفی درست :5 - TN - اگر حمله در سیستم اتفاق نیافتند، سیستم به درستی تشخیص میدهد که حمله اتفاق نیفتاده است.

·    مثبت غلط :6 - FP - اگر حمله در سیستم اتفاق نیافتند، سیستم به اشتباه تشخیص دهد که حمله اتفاق افتاده است.

·    منفی غلط :7 - FN - اگر حملهای در سیستم اتفاق بیافتد، سیستم به اشتباه تشخیص دهد که حمله اتفاق نیفتاده است. - خدابنده لو و خلیلیان، - 1393

-3 سیستم تشخیص نفوذ:

یک IDS8مرتباً اعمال نظارتی را در یک محیط خاص انجام میدهد و تصمیم میگیرد که آیا آنها بخشی از یک حمله هستند و یا اینکه از محیط به طور مشروع استفاده میکنند. اگر IDS ایجاد شود خدمات امنیتی قوی ایجاد میشود که از الگوها و قوانین قدرتمند استفاده میکند و به منابع محاسباتی بیشتری نیاز دارد - . - More, et.al, 2014 سیستم پیشگیری از نفوذ به خاطر بعضی از ویژگیها از IDS ها متفاوت هستند، IPS9 ها میتوانند به یک حملهای که تشخیص دادهشده پاسخ دهند. به صورتی که به طور موفق آمیزی از وقوع آن پیشگیری کنند.