مقاله تشخيص نفوذهاي غير عادي در بستر شبكه با تشخيص outlier هايي كه از قبل بررسي نشده اند

 nx دارای 24 صفحه می باشد و دارای تنظیمات در microsoft word می باشد و آماده پرینت یا چاپ است فایل ورد nx  کاملا فرمت بندی و تنظیم شده در استاندارد دانشگاه  و مراکز دولتی می باشد. این پروژه توسط مرکز nx2 آماده و تنظیم شده است توجه : در صورت  مشاهده  بهم ريختگي احتمالي در متون زير ،دليل ان کپي کردن اين مطالب از داخل فایل ورد مي باشد و در فايل اصلي nx،به هيچ وجه بهم ريختگي وجود ندارد بخشی از متن nx : تشخیص نفوذهای غیر عادی در بستر شبكه با تشخیص outlier هایی كه از قبل بررسی نشده اند چكیده :تشخیص ناهنجاری (anomaly) موضوعی حیاتی در سیستم های تشخیص نفوذ به شبكه است (NIDS) . بسیاری از NIDS های مبتنی بر ناهنجاری «الگوریتمهای پیش نظارت شده » را بكار می گیرند كه میزان كارایی این الگوریتمها بسیار وابسته به دادها های تمرینی عاری از خطا میباشد . این در حالی است كه در محیط های واقعی و در شبكه های واقعی تهیه اینگونه داده ها بسیار مشكل است . علاوه بر اینها ، وقتی محیط شبكه یا سرویسها تغییر كند الگوهای ترافیك عادی هم تغییر خواهد كرد . این مساله به بالا رفتن نرخ مثبت نمایی در NIDS های پیش نظارت شده منجر می شود . تشخیص یك انحراف كامل (outlier) پیش نظارت نشده میتواند بر موانعی كه در راه تشخیص ناهنجاری های پیش نظارت شده وجود دارد غلبه كند . به همین دلیل ما الگوریتم « جنگلهای تصادفی » را كه یكی از الگوریتمهای كار امد برای استخراج داده است به خدمت گرفته ایم و آن را در NIDS های مبتنی بر ناهنجاری اعمال كرده ایم . این الگوریتم میتواند بدون نیاز به داده های تمرینی عاری از خطا outlier ها را در مجموعه داده های ترافیك شبكه تشخیص دهد . ما برای تشخیص نفوذهای ناهنجار به شبكه از یك چارچوب كاری استفاده كرده ایم و در این مقاله به شرح همین چارچوب كاری میپردازیم . در این چارچوب كاری ، الگوی سرویسهای شبكه از روی داده های ترافیكی و با استفاده از الگوریتم جنگلهای تصادفی ساخته شده است . توسط outler تعیین شده ای كه با این الگوهای ساخته شده مرتبط هستند نفوذها تشخیص داده می شوند. ما نشان میدهیم كه چه اصلاحاتی را روی الگوریتم تشخیص outlier جنگلهای تصادفی انجام دادیم . و همینطور نتایج تجربیات خود را كه بر اساس مجموعه داده های KDD 99 انجام شده است گزارش میدهیم . نتایج نشان میدهد كه روش پیشنهادی با سایر روشهای تشخیص ناهنجاری پیش نظارت نشده ای كه قبلا گزارش شده اند كاملا قابل مقایسه است . البته روشهایی كه بر اساس مجموعه داده های KDD 99 ارزیابی شده اند. 1- معرفیهمراه با رشد فوق العاده زیاد سرویسهای مبتنی بر شبكه و وجود اطالعات حساس روی شبكه ها تعداد حملات به كامپیوترهای تحت شبكه و شدت انها نیز به طور محسوسی افزایش یافته است . در حال حاضر طیف وسیعی از تكنولوژیهای امنیتی وجود دارد كه میتوانند از سیستم های تحت شبكه محافظت كنند . تكنولوژیهایی مانند رمز نگاری اطلاعات كنترل دسترسیها و جلوگری از نفوذ اما با وجود این تكنولوژیها هنوز هم راههای زیادی برای نفوذ وجود دارد كه تا حلل شناسایی نشده است . به همین دلیل سیتسم های تشخیص نفوذ IDS نقشی حیاتی را در امنیت شبكه ایفا می كنند . سیستم های تشخیص نفوذ به شبكه NIDS فعالیتهای مختلفی كه در شبكه انجام می شود را تحت نظر دارد و از این راه حملات را شناسایی می كند . این در حالی است كه سیستم های تشخیص نفوذ به سیستم های تحت Host یعنی HIDS نفوذ به یك host منفرد را شناسایی می كند. دو تكنیك اصلی برای تشخیص ورودهای نابجا وجود دارد . تشخیص كاربردهای نادرست و تشخیص ناهنجاری anomaly تشخیص كاربردهای نادرست بر اساس الگوهای استخراج شده از نفوذهای شناخته شده حملات را كشف می كند . در روش تشخیص ناهنجاری برای شناسایی حملات به این روش عمل می كند كه یكسری پروفایلهایی را برای فعالیتهای عادی ایجاد می كند و سپس بر اسسا این پروفایلها موارد انحراف را تعیین می كند . فعالیتهایی كه از حد تعیین شده برای انحرافات فراتر رود جزء حملات شناخته می شوند . در تكنیك تشخیص كاربردهای نادرست نرخ مثبت نمایی پائین است . اما این تكنیك نمی تواند حملاتی از انواع جدید را شناسایی كند . تكنیك تشخیص ناهنجاری میتواند حملات ناشناخته را كشف كند با این پیش فرض كه این حملات ناشی از منحرف شدن از رفتارهای عادی هستند. در حال حاضر بسیاری از NIDS ها مانند Snort سیستمهای قانونمند شده هستند ، به این معنی كه این سیستم ها تكنیكهای تشخیص كاربردهای نادرست را به خدمت میگیرند و بنابراین قابلیت انبساط محدودی برای حملات جدید دارند . برای شناسایی حملات جدید سیستمهای تشخیص ناهنجاری بسیاری توسعه پیدا كرده اند . بسیاری از انها بر مبنای روشهای نظارتی توسعه پیدا كرده اند . به عنوان مثال ADAM در تشخیص نفود ، از الگوریتم قوانین مشترك بهره گرفته است ADAM از فعالیتهای عادی كه روی داده های تمرینی عاری از حمله انجام می شود یك پروفایل می سازد . سپس با پروفایل ساخته شده حملات را شناسایی می كند . مشكل ADAM این است كه به داده های تمرینی كه برای فعالیتهای عادی استفاده می شوند بیش از حد وابسته است . وقتی كه در دنیای واقعی با شبكه های حقیقی كار می كنیم عملا هیچ تضمینی نیست كه بتوانین از تمامی حملات جلوگیری كنیم . بنابراین دست یافته به داده های تمرینی عاری ازخطا كار بسیار مشكلی است . در حقیقت هم یكی از مرسوم ترین راههایی كه برای تحلیل بردن یك سیستم IDS مبتنی بر ناهنجاری استفاده می شود این است كه بخشی از فعالیتهای نفوذی را درون داده های تمرینی وارد كنیم . IDS هایی كه با این داده های تمرینی تعلیم دیده اند قابلیت شناسایی این نوع از نفوذها را از دست میدهند . مشكل دیگر IDS های مبتنی بر نظارت بر رفتارهای ناهنجار این است كه وقتی محیط شبكه یا سرویسها تغییر می كند نرخ مثبت نمایی بالا میرود . از انجایی كه داده های تمرینی فقط فعالیتهای مطالعه شده را شامل می شود پروفایل مربوط به فعالیتهای عادی فقط شامل الگوهای مطالعه شده ای است كه از روی رفتارهای عادی برداشته شده اند . بنابراین فعالیتهای جدید ناشی از تغییر محیط شبكه یا سرویسها از پروفایلی كه قبلا ساخته شده تبعیت نمی كند و به عنوان حمله شناسایی می شوند . این مساله باعث بالا رفتن مثبت نمایی ها خواهد شد . برای غلبه بر محدودیتهای سیستم های مبتنی بر ناهنجاری های نظارت شده تعدادی از IDS ها از روشهای غیر نظارتی استفاده می كنند . در تكنیك تشخیص ناهنجاری به صورت غیر نظارتی نیازی به داده های تمرینی عاری از خطا نیست . این تكنیك برای شناسایی حمله ها به این ترتیب عمل می كند كه فعالیتهای غیر معمول داده ها را تعیین می كند . برای این كار دو پیش فرض دارد :• اكثر فعالیتها عادی هستند• بر طبق امار اغلب حمله ها با منحرف شدن از فعالیتهای عادی صورت می گیرد. فعالیتهای غیر معمول همان انحرافهای كامل ( Outlier) هستند كه با مجموعه داده های باقیمانده جور در نمی ایند . بنابراین تكنیكهای تشخیص Outlier می توانند روی سیستم هایی كه ناهنجاریها را به صورت غیر نظارتی تشخیص می دهند اعمال شوند . در واقع هم اكنون هم تشخیص Outlier در تعدادی از برنامه های عملی مانند شناسایی كردیت كارتهای تقلبی و پیش بینی وضع هوا در حال استفاده است . ما روشی را پیشنهاد می كنیم كه برای تشخیص نفوذهای غیر عادی از تكنیك تشخیص outlier ی كه توسط الگوریتم جنگلهای تصادفی تهیه شده است استفاده می كند . جنگلهای تصادفی روشی است كه در میان الگوریتمهای استخراج داده موجود تقریبا پیشتاز است . این الگوریتم تا كنون در برنامه های مختلف بسیار زیادی استفاده شده است . برای مثال در برنامه پیشگویی نظریه احتمالات تجزیه الگو در بازیابی اطلاعات چند رسانه ای مورد استفاده بوده است. متاسفانه تا جایی كه ما اطلاع دارمی تا كنون این الگوریتم را در سیستم های تشخیص نفوذهای غیر عادی بكار نبرده اند . دغدغه اصلی سیستمهای تشخیص نفوذهای غیر عادی این است كه مثبت نمایی ها را به حداقل برسانند . تكنیك تشخیص outlier برای كاهش نرخ مثبت نمایی و ارائه یك نرخ شناسایی مطلوب و قابل قبول موثر خواهد بود . روش پیشنهادی توسط مجموعه داده KDD99 ارزیابی شده است . این مجموعه داده برای سومین مسابقه بین المللی ابزارهای استخراج داده و اكتشاف دانش مورد استفاده بوده است . نتایج تجربیات ما نشان می دهد كه میزان كارایی تكنیك تشخیص با روش پیشنهادی ما یعنی تكنیك تشخیص outlier به طور موثری بهبود پیدا كرده است . این مقاله به این صورت تنظیم شده است . در بخش دوم ما كارهای مربوطه را شرح می دهیم در بخش سوم به صورت تفصیلی روش تشخیص outlier با استفاده از الگوریتم جنگلهای تصادفی را شرح می دهیم . در بخش چهارم تجربیات و ارزیابی های انجام شده برای تعیین میزان كارایی نشان داده می شود . و در اخر در بخش پنجم مقاله را خلاصه می كنیم و طرح تحقیقات آتی خود را مشخص می كنیم .   2- كارهای مربوطهیكی از موضوعهای مهمی كه در تحقیقات مربوط به تشخیص نفوذها وجود دارد ، تشخیص ناهنجاری بوده تا كنون روشهای بسیار متنوعی برای تشخیص ناهنجاری پیش نظارت نشده در NIDS ها یك موضوع تحقیقاتی جدید است اسكین در موضوع تشخیص ناهنجاری نظارت نشده ، سه الگوریتم را بررسی كرده است : تخمین بر مبنای كلاستر ، نزدیكترین همسایه و SVM تك كلاسی . سایر محققان در NIDS های غیر نظارتی روشهای كلاسترینگ را اعمال كرده اند. سیستم تشخیص ناهنجاریهای پیش نظارت شده در طیف وسیعی مورد مطالعه قرار گرفته است . در همین مبحث ، ADAM پروژه ای است كه در عرصه وسیعی شناخته شده و منتشر شده است . این پروژه یك online IDS در بستر شبكه است . ADAM میتواند به همان خوبی كه حملات شناخته شده را تشخیص میدهد حملات ناشناخته را هم تشخیص دهد . به این ترتیب كه از رفتارهای عادی مربوط به داده های تمرینی عاری از خطا پروفایل میسازد و این پروفایل را به عنوان یك مجموعه قوانین مشترك ارائه می كند. در زمان اجرا با توجه به این پروفایل ، تماسهای مشكوك را شناسایی می كند . روشهای پیش نظارت شده دیگری هم بر سیستم های تشخیص ناهنجاری اعمال شده اند . روشهایی نظیر الگوریتم ژنتیك و استخراج داده های مبهم و نامعلوم ، شبكه های عصبی و SVM . در كار قبلی مان ، ما الگوریتم جنگلهای تصادفی را در سیستم تشخیص كاربردهای نادرست misuse اعمال كردیم . در این مقاله تابع تشخیص outlier تهیه شده توسط الگوریتم جنگلهای تصادفی را برای تشخیص ناهنجاری پیش نظارت نشده به خدمت گرفته ایم . دقت و تاثیر این الگوریتم روی مجموعه داده های برگی كه دارای ویژگیهای زیادی هستند بیشتر است . مجموعه داده هایی نظیر مجموعه داده های ترافیك شبكه. 3- تشخیص Outlier هادر این بخش ما چارچوب كاری پیشنهادی برای NIDS را شرح میدهیم و نشان میدهیم كه چگونه از این الگوریتم برای تشخیص outlier های روی مجموعه داده ای ترافیك شبكه استفاده می كنیم . الف – شرح چارچوب كاریچارچوب كاری پیشنهادی برای تشخیص نفوذهای نوظهور از الگوریتم جنگلهای تصادفی استفاده می كند . چارچوب كاری در شكل 1 نمایش داده شده است. شكل 1- چارچوب كاری NIDS ناهنجاری پیش نظارت نشده NIDS از ترافیك شبكه تصویر بردار یمی كند و با پیش پردازش كردن مجموعه داده ها را میسازد . سپس با استفاده از الگوریتم ف از روی مجموعه داده الگوهایی بر مبنای سرویسها ساخته می شود . با الگوهای ساخته شده می توانیم outlier های مربوط به هر الگو را پیدا كنیم . وقتی outlier ها شناسایی شدند سیستم یك اخطار تولید می كند . بعد از اینكه تصویر برداری از ترافیك شبكه انجام شد پردازش به صورت off-line ادامه خواهد یافت . زیرا الگوریتم تشخیص outlier نیازمندیهای زیادی برای محاسبات لازم دارد . به همین دلیل هم در محیطهای واقعی شبكه پردازشهای online مناسب نیست . ب – الگوریتم جنگلهای تصادفیجنگلهای تصادفی یك طرح كامل از طبقه بندی غیر شاخه ای یا درختهای بازگشتی است . این الگوریتم از نظر دقت و صحت در میان الگوریتمهای استخراج داده ای كه در حال حاضر وجود دارند بی رقیب است . به خصوص برای مجموعه داده های بزرگی ویژگیهای (feature) زیادی دارند . این الگوریتم درختهای طبقه بندی زیادی تولید می كند . هر درخت توسط یك نمونه Bootstrap متفاوت از روی داده اولیه ساخته می شود . برای این كار از یك الگوریتم طبقه بندی درختی استفاده می كند . بعد از اینكه جنگل تشكیل شد یك شی جدید كه لازم است حتما طبقه بندی شده باشد درختها را تك تك درون جنگل قرار می دهد تا طبقه بندی شوند . هر درخت یك رای می دهد كه این رای نشان دهنده تصمیم آن درخت درباره كلاس شی مذكور است . جنگل با توجه به اكثریت ارایی كه درباره كلاس شی مذكور داده شده است ، كلاس ان شی را مشخص می كند . در الگوریتم حجنگلهای تصادفی نیازی به اعتبار سنجی خطی نیست . ژون هر درخت با استفاده از نمونه bootstrap ساخته می شود بنابراین تقریبا یك سوم موارد از نمونه های bootstrap كنار گذاشته می شوند و در تمرین استفاده نمی شوند . این موارد را اصطلاحا خارج از رده یا oob می نامند .   ج – الگوهای استخراج سرویسهای شبكهبنابراین با استفاده از این الگوریتم ما می توانیم از روی سرویسهای شبكه الگوهایی را بسازیم . این الگوریتم پیش نظارت شده است . بنابراین لازم است كه مجموعه داده ها را بر اساس سرویسهای شبكه بر چسب گذاری كرد . در واقع بسیاری از مجموعه داده های مورد استفاده برای ارزیابی NIDS ها میتوانند با اندك تلاشی بر اساس سرویسهای شبكه بر چسب گذاری شوند . مثلا یكی از ویژگیهای مجموعه داده KDD99 ویژگی با عنوان نوع سرویس میباشد كه میتواند برای برچسب استفاده شود . قبل از ساخت الگوها لازم است كه پارامترهای الگوریتم را بهینه سازی كنیم . وقتی جنگل در حال رشد است ، از بین تمام ویژگیهای درون داده های تمرینی داده های تصادفی به صورت تصادفی انتخاب شده اند . بهترین انشعاب از این ویژگیهای تصادفی را برای انشعاب گره مورد استفاده قرار میدهند . تعداد ویژگیهای تصادفی به صورت یك ثابت نگهداری شده است (Mtry) . تعداد ویژگیهای بكار گرفته شده در انشعاب دادن هر گره برای هر درخت (Mtry) پارامتر همسو سازی اولیه است . برای بهبود كارایی این الگوریتم این پارامتر باید بهینه سازی شود . و همچنین پارامتر تعداد درختهای درون جنگل برای یافتن مقدار مناسب برای پارامتر Mtry و تعداد درختان از مجموعه داده استفاده میكنیم . حداقل نرخ خطا با مقادیر بهینه مطابقت دارد . بنابراین برای ساخت جنگل و ارزیابی نرخ خطای جنگل از مقداری متفاوت از Mtry و تعداد درختان استفاده می كنیم . سپس مقداری مطابق با حداقل نرخ خطا را انتخاب می كنیم و با كمك آن الگوهای سرویس را می سازیم . د – تشخیص Outlier پسش نظارت نشده با پیدا كردن فعایتهای غیر معمول یا Outlier ها میتوانیم نفوذها را تشخیص دهیم . در NIDS پیشنهادی ما دو نوع Outlier وجود دارد . نوع اول فعالیتهایی هستند كه در یك سرویس شبكه یكسان به طور معنی داری از سایر فعالیتهای منحرف شده اند . نوع دوم فعالیتهایی هستند كه الگوهای انها به سرویسهای دیگری به جز سرویس اصلی خودشان تعلق دارد . مثلا وقتی یك فعالیت http به عنوان سرویس ftp طبقه بندی شده است . در این حال آن فعالیت به عنوان یك outlier شناسایی خواهد شد . الگوریتم جنگلهای تصادفی برای پیدا كردن outlier هایی كه همجواری انها به تمام موارد دیگر درون كل داده ها عموما كوچك است از همجواریها استفاده می كند . همجواریها یكی از مفیدترین ابزارها در این الگوریتم است . بعد از اینكه جنگل ساخته شد همه موارد در مجموعه داده هر یك از درختها را در جنگل قرار داده اند . اگر موارد n و k در یك برگ مشابه از یك درخت باشند همجواری انها یكی افزایش پیدا می كند . در اخر مقدار همجواریها را بر تعداد درختان تقسیم كرده و به این ترتیب پارامتر همجواریها نرمال سازی می شود . برای یك مجموعه داده با N مورد ، همجواریها در حالت اولیه یك ماتریس N*N را تشكیل می دهد . پیچیدگی محاسبات هم N*N است . مجموعه داده های ترافیك شبكه حجم بسیار زیادی دارند . بنابراین مقدار زیادی از حافظه و زمان Cpu برا یمحاسبه مورد نیاز است . ما الگوریتم محاسبه همجواریها را تغییر می دهیم تا به این ترتیب كارایی بهبود پیدا كند . همانطور كه قبلا گفتیم اگر فعایتی كه مربوط به یك سرویس است در یك سرویس دیگر طبقه بندی شود ان فعالیت به عنوان Outlier شناسایی خواهد شد . بنابراین اگر دو مورد وجود داشته باشند كه متعلق به سرویسهای متفاوتی باشند همجواری بین انها اهمیتی ندارد . پارامتر Si بر تعداد موارد در سرویس I دلالت دارد . بعد از این تغییر ، یچیدگی به اندازه Si * Si كاهش پیدا می كند . ادامه خواندن مقاله تشخيص نفوذهاي غير عادي در بستر شبكه با تشخيص outlier هايي كه از قبل بررسي نشده اند

نوشته مقاله تشخيص نفوذهاي غير عادي در بستر شبكه با تشخيص outlier هايي كه از قبل بررسي نشده اند اولین بار در دانلود رایگان پدیدار شد.