مقاله کاهش بعد ویژگی ها با استفاده از الگوریتم الگوی تحلیل خطی ( LDA ) برای سیستم تشخیص نفوذ مبتنی برK نزدیکترین همسایه

بخشی از مقاله

چکیده:

تشخیص نفوذ و همچنین تشخیص الگوهای غیرمتعارف در دادههای شبکه در دنیای امروزه یک موضوع امنیتی بوده و از اهمیت ویژهای برخوردار است. انتخاب ویژگیهای مناسب و مفید در سیستم تشخیص نفوذ یکی از موضوعات مهم است. در این مقاله از یک روش دستهبندی بنام k نزدیکترین همسایه استفاده شده است. برای تشخیص و شناسایی حملات نیاز است که ویژگیهای مناسب که در روند تشخیص مفید هستند را انتخاب کرده تا از این طریق بتوان حجم محاسبات را کاهش داد.

برای رسیدن به این مهم از الگوریتم کاهش بعد، الگوی تحلیل خطی استفاده شده است. در این مقاله از داده های برنامه ارزیابی تشخیص نفوذ دارپا استفاده گردیده، که هر یک از رکوردهای این پایگاه داده شامل 41 ویژگی بوده است. با استفاده از این الگوریتم این ویژگیها به 10 ویژگی کاهش داده شد. با توجه به کاهش ابعاد ویژگیها با الگوریتم الگوی تحلیل خطی حجم محاسبات سیستم کاهش یافته که با توجه به ارزیابی نتایج با تعداد 9 ویژگی زمان محاسبات به 7/4 ثانیه کاهش یافت و با دستهبندی مناسب دادهها، نرخ تشخیصهای مثبت اشتباه، کاهش یافته است.

-1 مقدمه

توسعه روزافزون فناوری اطلاعات، فناوریهای کاربردی شبکهای، برنامههای کاربردی، از یک طرف و تهدید و تهاجم سوءاستفاده کنندگان از طرف دیگر موجب شده است که، تشخیص نفوذ یک مسئله مهم تحقیقاتی در زمینه امنیت سیستم های کامپیوتری باشد

نفوذ میتواند انگیزههای مختلف نظامی، سیاسی، مالی و حتی نمایش مهارتهای فردی برای نشان دادن نقطه ضعفهای برنامههای کاربردی و اشکالهای منطقی نرم افزاری صورت میپذیرد. برای جلوگیری از نفوذ و مقابله با نفوذ به سیستمهای کامپیوتری روشهای متفاوتی وجود دارد. هدف از تشخیص نفوذ شناسایی هر گونه استفاده غیر مجاز و خرابی سیستمهای کامپیوتری توسط هر کاربر داخلی یا خارجی می باشد که سیستمهای تشخیص نفوذ به عنوان عناصر اصلی زیر ساخت های امنیتی در اکثر سازمانها بوده است.

هدف اصلی در سیستم تشخیص نفوذ، طبقهبندی عوامل نفوذ و حمله از عوامل بیخطر با عملکرد و دقت بالا است و همچنین کاهش بعد در سیستم تشخیص نفوذ میتواند تاثیر بسزایی در عملکرد این سیستم داشته باشد.

زمانی که تعداد ویژگیهای انتخاب شده مناسب و اطلاعات کاملتری از عوامل مجاز و غیرمجاز داشته باشد، سیستم تشخیص نفوذ انواع متفاوتی از حملهها را مشخص میکند که این امر باعث بالا رفتن امنیت و دقت در سیستم میشود.

گونهای از دادهها که در بستر زمان به صورت پیوسته در حال تولید هستند و به صورت جریانی می باشند، از جمله: سابقه تماس در برنامههای مخابراتی، شبکههای حسگر، بازدید صفحات وب و غیره. لذا این خود یک چالش مهم در سیستمهای تشخیص نفوذ است چراکه چالشهای محاسباتی در سیستم به وجود میآورد. انتخاب ویژگیهای مناسب یکی موضوعات حیاتی در سیستم تشخیص نفوذ میباشد.

بسیاری از ویژگیها در میان تعداد زیاد ویژگیها کارآمد و مفید نیستد و تنها حجم محاسبات را برای سیستم زیاد میکنند، پس تشخیص اینکه کدام ویژگیها مفید هستند و کدام نه مهم است. برای کاهش محاسبات سیستم و بالا بردن سرعت سیستم باید ویژگیهایی که در روند کلی سیستم تشخیص نفوذ بیفایده هستند حذف شوند که منجر به کاهش بعد ویژگیهای سیستم میشود.

به طور کلی روشهای انتخابی و روشهای تبدیلی دو گروه از روش-های کاهش بعد ویژگیها هستند. در روشهای انتخابی، تمام ویژگیها در قالب یک بردار در نظر گرفته میشود و از این بردار ویژگیهایی برای شناسایی انتخاب میشوند که در تشخیص حمله یا حملات مفیدتر باشند.

اما در روشهای تبدیلی با استفاده از روشهای ریاضی برای نشخیص حمله ویژگیهای مفیدتری از این بردار انتخاب شوند. در این مقاله ما از روش تحلیل الگوی متمایز خطیLDA 1 برای استخراج ویژگیها استفاده میکنیم. استفاده از روش کاهش بعد ویژگی مذکور در سیستم تشخیص نفوذ باعث افزایش سرعت سیستم میشود.

در این مقاله از روش دستهبندی k تزدیکترین همسایه استفاده شده است، در استفاده از دسته بند KNN نکته مهم و تاثیرگذار بر دقت و سرعت تشخیص، انتخاب مقدار K و معیار فاصله است. مقادیر بزرگتر K منجر به 7 پیچیدگی بیشتر محاسبات خواهد شد. لذا با انجام مصالحه میان مقدار K و دقت سیستم میتوان به مقدار بهینه K دست یافت. برای تعیین بهینه پارامتر مذکور، با روش سعی و خطا و تنظیم مقدار 7 تا 79 بهترین دقت به ازای هر K محاسبه شده است. تکنیک-های دستهبندی روشهای مناسب و بهینهای برای تعیین محدوده و دقت هر کلاس دادهای میباشد، تا بتوانیم دادهها را بر اساس ویژگی-هایی که دارند کلاسبندی کنیم و ماتریسهای پراکندگی مناسبی بدست آوریم.

در بخش دوم به پیشینهای از سیستمهای تشخیص نفوذ میپردازیم. در بخش سوم به معرفی تکنیک کاهش بعد میپردازیم، در بخش چهارم به معرفی الگوریتم K نزدیکترین همسایه میپردازیم، در بخش پنجم به پیادهسازی روش پیشنهادی اقدام میکنیم و در بخش آخر روش پیشنهادی را با روشهای دیگر مقایسه میکنیم و در نهایت نتایج حاصل را گزارش میدهیم.

-2 کارهای انجام شده

در سال 2006، چاندولیکار و همکارانش در مقالهای یک سیستم تشخیص نفوذ با استفاده از تکنیکهای دادهکاوی ارائه دادند.[4] در این تحقیق از یک متخصص انسانی برای سیستم تشخیص نفوذ استفاده شده است که وظیفه کلاسبندی و برچسبگذاری و همچنین بروزرسانی قوانین را بر عهده دارد. از مجموعه دادههای شبکه برای تشخیص نفوذ استفاده شده است به این صورت که دادههای Netflow وارد سیستم میشوند که 8 ویژگی از آن استنتاج میشود که 8 ویژگی دیگر از آن ویژگیها بدست میآید.

در سال 2012 چاندولا و نانداودکار، طی مقالهای با استفاده از مجموعهی داده آموزشی KDDCUP 99 و تکنیکهای داده-کاوی و دادهکاهی مهمترین و بهترین ویژگیها را انتخاب کردند.

در این مقاله ابتدا دو مدل سیستم تشخیص نفوذ مبتنی بر رفتار غیرمتعارف4 و مبتنی بر امضا 5بیان شده است.

استنتاج قوانین 6 روشی برای مجموعهای از قوانین است که موارد را استخراج میکند. اگرچه درختهای تصمیم7 میتوانند مجموعهای از قوانین را ایجاد کند، متدهای استنتاج قوانین، مجموعهای از قوانین مستقل را ایجاد میکند که لزوما یک درخت را ایجاد نمیکنند. در شکل زیر معماری از تحقیق چاندولیکار و همکارانش را نشان داده شده است.

شکل - 1 - سیستم نشخیص نفوذ با مجموعه قوانین و درخت تصمیم

-3 روش الگوی تحلیل خطی - LDA - یا تحلیل الگوی متمایز خطی

در این روش دو ماتریس که یک ماتریس پراکندگی میان کلاسها است و که یک ماتریس پراکندگی درون کلاسی برای حل مسئله شناسایی الگو M کلاسی میباشد. که در این صورت نمایانگر تغییرات بردارهای مورد انتظار برای هر دو کلاس میباشد در صورتیکه پراکندگی دادهها اطراف بردار مورد انتظار کلاس آن نمونه دادهها میباشد. در این روش تلاش میشود که بصورت همزمان Det - - کمترین مقدار و Det - - بیشترین مقدار را داشته باشد.