مقاله طراحی و پیاده سازی سیستم تشخیص نفوذ مبتنی بر ترکیب لایه ایی شبکه عصبی مبتنی بر نگاشت ویژگی ها به شیوه خود سازمان دهی شده و شبکه عصبی پیش خور تعمیم یافته بر مبنای ویژگی های اصلی رکوردهای شبکه

بخشی از مقاله

چکیده

سیستمهای تشخیص نفوذ یکی از ابزارهای مورد استفاده درایجاد امنیت می باشد. از آنجایی که از نظر تکنیکی ایجاد سیستم ها ی کامپیوتری بدون نقاط ضعف و شکست امنیتی عملأ غیرممکن است؛ تشخیص نفوذ در تحقیقات مربوط به سیستمهای کامپیوتری با اهمیت خاصی دنبال میشود.[4]هدف ازاین مقاله طراحی و پیاده سازی سیستم تشخیص نفوذ مبتنی بر شبکه ی عصبی مصنوعی با هدف ارائه یک سیستم تشخیص نفوذ ایده آل است.

در این مقاله ما به دنبال ارائه ی یک مدل آموزشی جدید شبکه های عصبی، مبنی بر چند مرحله ای بودن آموزش شبکه ی مذکور، مبتنی براستفاده از شبکه عصبی مبتنی بر نگاشت ویژگی ها به شیوه خود سازماندهی شده و شبکه عصبی پیش خور تعمیم یافته جهت آنالیز داده ها می باشیم. لازم به ذکر است که سیستم مذکورمبتنی بر استفاده از داده هایی است که علاوه بر بررسی رفتارهای غیر عادی، به بررسی رفتارهای عادی نیز می پردازد.

مدل پیشنهادی ترکیبی از شبکه عصبی مبتنی بر نگاشت ویژگی ها به شیوه خود سازماندهی شده و شبکه عصبی پیش خورتعمیم یافته به صورت لایه ایی می باشد؛با استفاده از سیستم پیشنهادی علاوه بر خودکار بودن فرآیند آموزش و داشتن عملکردی مشابه یا بهتر در مقایسه با سیستم های موجود ، شاهد کاهش قابل ملاحظه ای در پیچیدگی محاسبات نیز خواهیم بود.به بیانی دیگر با استفاده از قابلیت های شبکه های عصبی با بار پردازشی کمتر تهاجم تشخیص داده میشود.

-1 مقدمه

تشخیص نفوذ به دو دسته تشخیص سوءاستفاده تشخیص ناهنجاری تقسیم می شوند. در روشهای تشخیص سوءاستفاده ازالگوهای نفوذشناخته برای شناسایی نفوذها استفاده می شود ، بنابراین این روش تنها قادربه شناسایی حملات شناخته شده می باشند. در روش های تشخیص ناهنجاری رفتار عادی کاربران ملاک عمل قرار داده می شود و در نتیجه هرگونه رفتار مغایر با آن به عنوان تلاشی جهت نفوذ به سیستم شناسایی می گردد.

به منظور پیاده سازی روش های تشخیص نفوذ سیستم های متعددی ساخته شده اند؛ .نسل اول سیستم های تشخیص نفوذ در دهه 1980 تولید شده اند که نمونه هایی از آنها 3 IDESو بعدا NIDES ، MIDAS،HaystackوW&S هستند . ......برای دسته بندی رفتار کاربران و ترافیک شبکه از روش های مختلفی استفاده می شود ، به عنوان مثال می توان برای پیاده سازی تشخیص سوءاستفاده به روش های سیستم های خبره[2][1]، تحلیل گذار حالت4 [3] ،شبکه های رنگی پتری[4]و... اشاره کرد و برای پیاده سازی تشخیص ناهنجاری می توان از روش های آماری [5 ] ، تحلیل خوشه ای[6] 5،داده کاوی[7] 6،شبکه های عصبی7 و... استفاده کرد .

......شبکه ها ی عصبی به دلیل دارا بودن توانایی دسته بند ی بالا ، قدرت تعمیم، انعطاف پذیری و سرعت می توانند در سیستمهای تشخیص نفوذ به کار برده شوند وسبب کاهش نرخ اعلان های خطا در سیستم های تشخیص نفوذ و افزایش کارایی سیستم شوند. سیسستم های تشخیص نفوذ با هر روش تشخیص و با هر منبع اطلاعاتی قادر به استفاده از شبکه های عصبی بعنوان دسته بندی کننده و تعمیم دهنده هستند . از سیستم های تشخیص نفوذ ی بروش ناهنجاری که از شبکه های عصبی استفاده می کنند می توان به سیستم های[8][9] اشاره کرد و همچنین سیستم های [10][11][12][13][14] از شبکه های عصبی و از روش تشخیص سوء استفاده استفاده می کنند.

......مقالات [8][9]دو سیستم تشخیص نفوذ مبتنی بر شبکه به روش ناهنجاری و با استفاده از شبکه عصبی را مطرح می کنند. .......در این مقاله هدف طراحی و پیاده سازی سیستم تشخیص نفوذ مبتنی بر شبکه ی عصبی مصنوعی با هدف ارائه یک سیستم تشخیص نفوذ ایدهآل است. در این مقاله ما به دنبال ارائه ی یک مدل آموزشی جدید شبکه های عصبی، مبنی بر چند مرحله ای بودن آموزش شبکه ی مذکور، مبتنی براستفاده از شبکه های عصبی SOFM و GFF جهت آنالیز داده ها می باشیم.

......در بخش2این مقاله شبکههای عصبی و مزایا ومعایب استفاده از شبکه-های عصبی در سیستمهای تشخیص نفوذ عنوان می گردد.در بخش 3 به بررسی معماری سیستم تشخیص نفوذ، که شامل شبکه های عصبی مورد استفاده، توصیف پایگاه داده ،عملیات اولیه تحت عنوان پیش پردازش بر روی پایگاه داده توصیفی و سیستم تشخیص نفوذ پیشنهاد شده در این مقاله می باشد،پرداخته می شود. بخش 4 نتایج تست را نشان می دهد و در بخش 5 نتیجه گیریی از آزمون های انجام شده و بحث بر روی آنها عنوان می شود .

-2 شبکه عصبی

...... شبکه عصبی نوعی تحلیل غیر پارامتری است که هدف از به کاربردن آن در تشخیص نفوذ ایجاد قابلیت تعمیم از یک مجموعه داده نا کامل و سپس توانایی دسته بندی داده ها می باشد. شبکه های عصبی به عنوان یک راه حل پیشنهادی برای حل مسائلی به کار می روند که اطلاعات واضح و مورد نیاز آن برای سیستم های خبره فراهم نیست.

...... یک شبکه عصبی یک ساختار توزیع شده موازی به فرم یک گراف جهت دار است. هر گره را دراین گراف یک المان پردازشگر یا یک واحد پردازشگر یا یک نورون می نامند .این گراف از یک لایه ورودی و یک لایه خروجی تشکیل شده است لایه های بین ورودی و خروجی را لایه های مخفی می نامند. - شکل - 1 هر اتصال گراف دارای وزن و جهت می باشد که جهت تاثیر و میزان تاثیر گره مبدا به گره مقصد را مشخص می کند . وزن های اتصالات در یک فاز آموزش یا یادگیری تعیین می شوند. تعیین وزن ها به کمک قواعد یادگیری شبکه و نمونه های ورودی- خروجی انجام می پذیرد.[15]

شکل :1 ساختار لایه ای شبکه عصبی

.......برای به کار بردن روش شبکه های عصبی در تشخیص نفوذ،ابتدا بایستی شبکه عصبی را برای داده های نرمال وحملات به کار بریم تا به طور اتوماتیک ضرایب شبکه در طی فاز آموزش تعیین گردند و سپس تستهای کارایی با حملات وترافیک واقعی شبکه انجام میشوند. از مزایای استفاده از شبکه عصبی در سیستمهای تشخیص نفوذ می توان به انعطافپذیری،سرعت،قدرت تعمیم،توان بالای دستهبندی و تحلیل غیر-خطی دادهها اشاره کرد.[17] . انتخاب مناسب پارامترهای مورد بررسی، کاستن از حجم دادههای جمع آوری شده برای آموزش و پردازش، نحوه مناسب بازیابی دادههای آموزشی،کم کردن زمان آموزش،تعداد سیکلهای آموزشی مورد نیاز، مشخص شدن نوع حمله توسط شبکه عصبی و نحوه پاسخ به یک نفوذ آشکار شده از موارد مورد تاکید است.[18]

-3 معماری سیستم تشخیص نفوذ

تفاوت شبکه های عصبی در ساختار آنها یعنی تعداد لایه های ورودی، لایه های خروجی و لایه های میانی و همچنین نحوه ارتباط عناصر پردازشی در این لایه ها با هم و با لایه های دیگر و نیز الگوریتم های یادگیری متفاوت برای شناسایی الگوهای مفید در عناصر ورودی می باشد. در شبکه های عصبی GFF ، MLPو جردن- المان از الگوی یادگیری بانظارت استفاده می شود به این معنی که در هر مرحله تکرار الگوریتم یادگیری، جواب مطلوب سیستم یادگیرنده از قبل آماده است، یعنی به خطای یادگیری که همان خطای بین مقدار مطلوب و مقدار واقعی می باشد دسترسی خواهد داشت.

در یادگیری بدون ناظر جواب مطلوب برای سیستم یادگیرنده موجود نیست. به عبارتی به خطای یادگیری جهت بهبود رفتار سیستم یادگیرنده دسترسی نداریم. شبکه های عصبی PCA و SOFMاز روش یادگیری ترکیبی استفاده می کنند به این معنی که از هر دو روش بانظارت و بدون نظارت در الگوریتم یادگیری خود استفاده می کنند. مجموعه داده هایی که در امر آموزش شبکه عصبی به منظور تشخیص نفوذ بکار می روند معمولا از حجم زیادی برخوردارند و استفاده از شبکه های عصبی ترکیبی به منظور تعدیل داده ها نتایج تشخیصی مطلوبی بدست می دهد.[19]

در این مقاله از شبکه های عصبیGFF و SOFM در طراحی سیستم تشخیص نفوذ استفاده کرده ایم، بدین منظور که هم از توانایی شبکه های عصبی در تشخیص این سیستم ها آگاه شویم و هم توانایی شبکه های عصبی مختلف را با هم مقایسه کنیم. در این بخش ابتدا پس از بررسی شبکه های عصبی مورد استفاده وتوصیف پایگاه داده ای که از آن به عنوان ورودی سیستم استقاده می شود به بررسی عملیات اولیه تحت عنوان پیش پردازش بر روی پایگاه داده توصیفی پرداخته و در پایان سیستم تشخیص نفوذ پیشنهاد شده در این مقاله ارایه می شود.

3-1بررسی شبکه های عصبی GFFو SOFM

3-1-1شبکه عصبی مبتنی بر نگاشت ویژگی ها به شیوه خود سازماندهی شده - SOFM - SOFM یک شبکه عصبی برای تحلیل و به تصویر کشیدن داده های با ابعاد زیاد است و یک نوع شبکه عصبی رقابتی است که داده های ورودی با ابعاد زیاد را به یک ساختار یک بعدی، دو بعدی و یا سه بعدی نگاشت می کند. این نگاشت همراه با حفظ توپولوژی است. [20] .خروجی SOFM می تواند به عنوان ورودی برای یک شبکه عصبی نظارت یافته مثل MLP و GFF استفاده شود.

امتیاز اصلی این شبکه عصبی دسته بندی ایجاد شده بر اساس SOFM می باشد که فضای ورودی را با استفاده از فرایند خود سازماندهی بر روی چندین ویژگی منحصر بفرد نگاشت می کند. از این رو بر اساس این ساختار، فضای ورودی حفظ شده اما ابعاد داده ها کاسته شده است .[21] لایه SOFM می تواند یک شبکه ی یک یا دو لایه ای باشد. الگوریتم SOFM به صورت زیر می باشد:[21]

-1 مقدار اولیه دادن به وزن ها با مقادیر تصادفی کوچک و مختلف به منظور از بین بردن تقارن در وزن ها.

-2 برای هر داده ورودی عنصر پردازشی برنده را با استفاده از قانون فاصله حداقل پیدا می کنیم.

-3 برای هر عنصر پردازشی برنده وزن آن و نیز وزن همسایگی آن - n - را با رابطه زیر اصلاح می کنیم:

- 1 -   توجه کنید که میزان یادگیری و همسایگی در هر تکرار به هم وابسته اند. یعنی آنها سازگار هستند.  ثابت های سازگار به منظور تضمین بکار می روند. به این صورت که در مراحل اولیه یادگیری نقش شکل گیری و استخدام واحدهای همسایگی محلی را بر عهده دارند و در مراحل بعدی یادگیری نقش تثبیت و میزان سازی خوب تصویر کردن را ایفا می کنند. تنظیم این ویژگی ها از نظر تئوری بسیار دشوار بوده از این رو این مقادیر به صورت هیورستیک تعیین می شوند.

زمانی که نتایج در لایه SOFM تثبیت شد خروجی آن می تواند به منظور انجام دسته بندی به MLP داده شود. در حقیقت در شبکه عصبی SOFM دو مرحله طی می شود: ابتدا فضای داده ورودی کاهش می یابد و در مرحله دوم داده های ساختار یافته به شبکه عصبی MLP داده می شود که در این صورت فرایند یادگیری سریع تر و آسان تر انجام می شود.