بخشی از مقاله
چکیده با رشد سریع اینترنت و شبکههای مجازی، تعداد حملههای جدیدی که در هرروز ظاهر میشوند همواره رو به افزایش است. سیستمهای سنتی مبتنی بر امضا که فرایند شناسایی حمله را با مقایسه حملات موجود در پایگاه داده انجام میدهند، در مواجه با حملات جدید، ناتوان خواهند بود. یک پیشنهاد برای این مشکل این خواهد بود که همیشه آخرین حملات فوراً در پایگاه داده ثبت شوند که خود این عمل بسیار پرهزینه خواهد بود. یک راهحل ممکن برای حل این مسئله با عنوان سیستمهای مبتنی بر بینظمی پیشنهادشده است.
سیستم مبتنی بر بینظمی، مدلی از رفتارهای هنجار سیستمی را که قرار است از آن محافظت به عمل آید را میسازد و الگوی حمله را با مدل نرمال مقایسه کرده و در صورت وجود ناسازگاری آن را ناهنجار تشخیص میدهد. در این پژوهش روشی براساس ساختار سیستمهای تشخیص نفوذ مبتنی بر بینظمی پیادهسازی شده است و از مدل مخفی مارکوف و بهینهسازی کلونی زنبور عسل مصنوعی برای حل مسئله تشخیص بینظمی استفاده میکند. آزمایشها نشان میدهد که روش پیشنهادی نسبت به روشهای گذشته توانسته است معیارهای دقت، فراخوانی و F1-measure را با نرخ بهتری کسب کند.
-1 مقدمه
با افزایش سرعت، کارایی، تعداد و ارتباط کامپیوترها در دهه 1970، نیاز به سیستمهای امنیتی رشد بسیاری پیدا کرد. در سالهای 1977 و 1978 سازمان بینالمللی استاندارد، جلسهای را مابین دولتها و ارگانهای بازرسی EDP تشکیل داد که نتیجه آن جلسه، تهیه گزارشی از وضعیت امنیت، بازرسی و کنترل سیستمها در آن زمان بود. در همین زمان وزارت نیروی کشور آمریکا به علت نگرانی اوضاع امنیتی سیستمهای خود، تحقیق بسیار دقیقی را مورد بازرسی و امنیت سیستمهای کامپیوتری شروع کرد. این کار توسط فردی به نام جیمز اندرسون انجام شد. اندرسون1 اولین فردی است که مقالهای در رابطه با لزوم بازرسی خودکار امنیت سیستمها ارائه داد. گزارش اندرسون که در سال 1980 تهیه شده را میتوان بهعنوان هسته اولیه مفاهیم تشخیص نفوذ2 معرفی کرد.
در این گزارش مکانیسمهایی برای بازرسی امنیت سیستمها معرفی شد و همچنین مشخصشده است که در صورت بروز خرابی در سیستم چگونه با آن مقابله شود. در سالهای 1984 تا 1986 دوروتی دنینگ و پیتر نیومان تحقیقاتی درزمینه امنیت سیستمهای کامپیوتری انجام دادند که نتیجه آن تولید یک سیستم تشخیص نفوذ بهصورت بلادرنگ3 بود که بر اساس سیستمهای خبره 4 عمل میکرد. این سیستم IDES نامگذاری شد. در این پروژه ترکیبی از تشخیص ناهنجاری 5 و تشخیص سوءاستفاده مورد بررسی قرار گرفت. ایده مطرحشده در این پروژه بهعنوان پایه خیلی از سیستمهای تشخیص نفوذ که از آن به بعد ایجاد شدند مورد استفاده قرار گرفت.
گزارش اندرسون و تحقیقاتی که بر روی پروژه IDES صورت گرفت، شروعکنندهی زنجیرهای از تحقیقات در رابطه با سیستمهای تشخیص نفوذ بودند. همگام با رشد شبکههای کامپیوتری، حملات6 و نفوذها به این شبکههای نیز گسترشیافته و به روشهای متعددی انجام میشود. نفوذ، مجموعه اقدامات غیرقانونی است که صحت7، محرمانگی8 و یا دسترسی به یک منبع را به خطر میاندازند. نفوذگرها را میتوان به دو دسته نفوذگرهای خارجی و نفوذگرهای داخلی دستهبندی کرد. نفوذگرهای خارجی کسانی هستند که اجازه استفاده از سیستم را ندارند، اما سعی میکنند سیستم را مورد دسترسی قرار دهند و نفوذگرهای داخلی کسانی هستند که برای دستیابی به سیستم اختیارات محدودی دارند، اما سعی میکنند به منابعی که اجازه استفاده از آنها را ندارند، دسترسی پیدا کنند.
درگذشته نفوذها و حملات بیشتر از ناحیه افرادی انجام میشد که علاقهمند بودند تا مهارتها و تواناییهای خود را آزمایش کنند، اما در حال حاضر، تمایل به نفوذ با انگیزههای مالی، سیاسی و نظامی بیشتر شده است. بهمنظور مقابله با نفوذگران به شبکههای و سیستمهای کامپیوتری، روشهای متعددی تدوین شده است که روشهای تشخیص نفوذ نامیده میشوند. هدف از تشخیص نفوذ این است که استفاده غیرمجاز، سو استفاده و آسیب رساندن به سیستمها و شبکههای کامپیوتری توسط هر دو دسته کاربران داخلی و حملهکنندگان خارجی شناسایی شود. سیستمهای تشخیص نفوذ ازنظر عملیاتی به دودستهی زیر تقسیم میشوند:
1. سیستمهای مبتنی بر امضاء9
2. سیستمهای مبتنی بر بینظمی10
در این پژوهش مدلی برای ساخت سیستمهای تشخیص نفوذ پیشنهادشده است که براساس الگوریتم کلونی زنبور عسل مصنوعی11 کار میکند. همچنین در این مقاله از تکنیک یادگیری ماشین مدل مخفی مارکوف بهمنظور آموزش و آزمایش دادهها به استفاده میشود.
-2 کارهای گذشته
در این بخش از مقاله تاریخچه تعدادی از روشهای مبتنی بر ناهنجاری که تا به حال بررسی شدهاند را شرح خواهیم داد. پوراس و همکارانش تاثیر هشدارها بر مأموریت شبکه را مورد توجه قرار دادهاند. یک پایگاه دانش از مشخصات شبکهی موردحفاظت برای اولویتبندی هشدارهای مورداستفاده قرار میگیرد، همچنین شکل سادهای از تصدیق هشدارهای برای حذف هشدارهایی که سرویس موردنظر آنها وجود ندارد نیز در نظر گرفتهشده است. در مدل M2D2 از روش تشریح رسمی تواناییهای هر IDS استفادهشده این تواناییها با نگاه به حوزه مورد نظارت و محل استقرار IDS بیان میشوند و به کمک آنها مثبتهای کاذب12 به کمک رای گیری بین چندین IDS شناسایی میشوند.
چونگ و همکارانش یک زبان به نام CAML برای مدلسازی حملات معرفی نمودند که در آن پیششرط و پسشرط هر حمله بیان میشود. پیششرط مجموعهای از شرایط است که برای انجام یک حمله بایستی مهیا باشد و پس شرط، پیامدهای آن حمله است. ژو و همکارانش از شبکه عصبی چندلایه پرسپترون 13 و همچنین ماشین بردار پشتیبان 14 برای محاسبه احتمال همبستگی دو هشدار استفاده کردهاند. آنها با نگهداری ماتریسی از احتمالات وقوع هشدارهای مختلف به دنبال یکدیگر و بروزکردن ماتریس با هر همبستگی جدید، اطلاعات مور نیاز برای ورودیهای شبکه عصبی و ماشین بردار پشتیبان خود را فراهم میکنند.
Krugel سرویسهای خاص تشخیص نفوذ را که ترکیبی از نوع، طول و چگونگی توزیع بایتهای یک بسته ترافیک انتقالی بود را برای بدستآوردن سرویسهای مورد نیاز یک مدل آماری در ترافیک نرمال توصیف میکرد.48 Netad [ 2 ] بایت اول بسته ترافیک انتقالی را بررسی نموده است. او از تعدادی مدلهای مجزای ساخته شده که مربوط به رایجترین پروتکلهای شبکه بودهاند در سیستم خود استفاده میکرد و همچنین به منظور کشف وقایع نادر، به هرکدام از بستهها نمره ناهنجاری تخصیص میداد. [3]در Payl، نفوذها از طریق آنالیز توزیعی بایتها در HTTPPayl تشخیص داده میشدهاند.[4]نسخه بهبود یافته Payl در مقاله آمده است.
بهطور خاص این نسخه جدید تعدادی مدل برای هر طول بسته میسازد و ارتباط ترافیک ورودی و خروجی را از حیث تشخیص انتشار حملات - کرم ها - مطمئن میسازد5]،Perdisci .[4 سیستم تشخیص نفوذی به نام McPAD ارائه داده است. در این مدل یک الگوریتم استخراج ویژگی پیادهسازی شده است که میتواند یک تقریب برای مدل n-gram در نظر گرفته شود. در مدل McPAD بسته-های ترافیک انتقالی در ترافیک نرمال به صورت 2-v-gram استفاده میشود که فرکانس نسبی جفت بایتها از موقعیت 0 تا v تغییر میکند و هر کدام موقعیت خود را از طریق دیگری پیدا میکند.
مجموعه ترافیک انتقالی در v+1 فضای ویژگی مختلف نشان داده میشوند و یک کلاس برای طبقهبندی هر فضای ویژگی آموزش داده شده است و هر کدام از طبقهبندی-کنندهها بر اساس ویژگیهای فضای خود آموزش میبیند.[7]اخیرا مدلهای مارکوف و مدلهای مخفی مارکوف15 برای مدل-سازی مسائل امنیتی کامپیوتری استفاده میشوند در حالیکه قبلا از آنها فقط در برنامههایی نظیر تشخیصگفتار، تشخیص دست خطها وتجزیه تحلیل دنبالههای زیستشناسی استفاده میشده است9]،.[8 سیستمهای بهم پیوسته - Tan,2014 - مانند سرورهای وب، سروهای پایگاه داده، سروهای محاسبات ابری و غیره تحت حملات مهاجمان قرار میگیرند. یکی از رایج-ترین و بدترین این حملات DoS است که یک تهدید جدی برای سیستمهای کامپیوتری است.
در این مقاله یک سیستم تشخیص DoS با استفاده از تجزیه و تحلیل چند متغییره همبستگی با استخراج ویژگیهای هندسی ترافیک شبکه ارائه شده است. روش پیشنهادی مبتنی بر MCA است و به تشخیص ناهنجاریهای میپردازد و مبتنی بر ناهنجاری است. شبکههای موبایل - Sohail,2013 - کاملا خودساخت یافته نشان دهنده سیستمهای توزیع شده پیچیدهاند که ممکن است بخش اعظمی از یک سیستم پیچیده مانند سیستم مدیریت بحران باشند.
