چکیده
تشخیص نفوذ شبکه فرآیند شناسایی فعالیت مخرب در یک شبکه با تحلیل رفتار ترافیک شبکه است. تکنیک های داده کاوی به طور گسترده ای در سیستم تشخیص نفوذ (IDS) برای تشخیص ناهنجاری ها استفاده می شود. کاهش ابعاد نقش حیاتی در IDS بازی می کند، زیرا شناسایی ناهنجاری ها از ویژگی ترافیک شبکه با ابعاد بزرگ، فرایندی زمان بر است. انتخاب مشخصه بر سرعت تحلیل و کار پیشنهادی، استفاده از فیلتر و روش مبتنی بر پوشش با استفاده از الگوریتم firefly در انتخاب ویژگی تاثیر می گذارد. ویژگی های حاصل از آن به طبقه بندی C4.5 و شبکه های بیزین (BN) با مجموعه داده KDD CUP 99 منتهی می شود. نتایج تجربی نشان می دهد که 10 ویژگی برای تشخیص نفوذ، نشان دهنده کفایت دقت بهبود یافته است. کار پیشنهادی با کارهای موجود نشان داده شده است که نشان دهنده پیشرفت قابل ملاحظه ای است.
مقدمه
سیستم تشخیص نفوذ (IDS) یکی از اجزای مهم سیستم های اطلاعات امن است. مزاحمان ومخلان در شبکه در حال تلاش برای دسترسی به منابع غیر مجاز در شبکه هستند. این امر برای نظارت و تجزیه و تحلیل فعالیت های کاربر و رفتار سیستم بسیار مورد نیاز است. به سادگی با اصلاح پیکربندی پارامترهای سیستم، رفتار سیستم می تواند بی وقفه باشد. از این رو سیستم باید از ویژگی های نظارت دوره ای و الگوهای رفتاری آن برای فعالیت های عادی و غیر طبیعی ارائه شود. دو نوع IDS [13] وجود دارد که مبتنی بر استقرار در زمان واقعی و مکانیزم تشخیص است. IDS مبتنی بر استقرار به IDS مبتنی بر میزبان (HIDS) و IDS مبتنی بر شبکه (NIDS) طبقه بندی شده است. HIDS فعالیت های داخلی یک سیستم محاسباتی را نظارت می کند. NIDS به طور پویا log های ترافیک شبکه را در زمان واقعی برای شناسایی نفوذهای بالقوه در یک شبکه با استفاده از الگوریتم های تشخیص مناسب کنترل می کند. IDS بر اساس مکانیزم تشخیص به تشخیص سوء استفاده، تشخیص غیرمتعارف و IDS ترکیبی طبقه بندی شده است. تشخیص سو مصرف از مجموعه قوانین و یا امضاهای از پیش تعیین شده برای شناسایی حملات شناخته شده استفاده می شود. تشخیص ناهنجاری یک پروفایل فعالیت نرمال، برای تشخیص حملات ناشناخته با چک کردن این موضوع می باشد که آیا وضعیت سیستم پروفایل از فعالیت نرمال تثبیت شده تغییر می کند یا خیر. هیبرید IDS حملات شناخته شده وناشناخته را تشخیص می دهد. امروزه انواع IDS از تکنیک های داده کاوی برای تشخیص نفوذ استفاده می کنند. اکثر NIDS های موجود، با استفاده از تمام ویژگی های ساخته شده از ترافیک شبکه، حملات را شناسایی می کنند. اما برای تشخیص حملات، تمام خصوصیات لازم نیست. کاهش تعداد خواص یا ویژگی ها می تواند زمان تشخیص را کاهش دهد و میزان تشخیص را نیز افزایش می دهد. در این کار، ما روشی مبتنی بر فیلتر و پوشش را برای انتخاب ویژگی های مناسب برای تشخیص نفوذ شبکه ترکیب کردیم. انگیزه کار کاهش تعداد ویژگی ها با عملکرد بهبود یافته برای نرخ تشخیص غیر ترکیبی است. کار پیشنهادی بر روی NIDS تمرکز دارد. اگر چه تکنیک های مختلف در مکتوبات برای NIDS در مورد انتخاب ویژگی ها، طبقه بندی ها وجود دارد، روش پیشنهادی بر روی رویکرد اکتشافی موسوم به تکنیک firefly برای انتخاب ویژگی و C۴ ۵ در مقایسه با طبقه بندی کننده شبکه بیزین متمرکز می باشد.
باقی مانده این مقاله به شرح زیر است. بخش دوم، کار مرتبط در مکتوبات را مشخص می کند. شرح مجموعه داده ها در بخش سوم ارائه شده و بخش چهارم ارائه کار پیشنهاد شده برای تشخیص نفوذ است. نتایج و بحث ها در بخش V و به دنبال آن اظهارات نهایی در بخش VI صورت می گیرد.
کار مرتبط
NIDS فعالیت شبکه را بر اساس اطلاعات بارگیری و ویژگی های آماری ترافیک شبکه را نظارت می کند. یک نظرسنجی دقیق از روش های موجود در ارائه روش ها و کاربرد آنها در ابزارهای NIDS توسط Monowar و همکاران انجام شده است. [13]. همچنین آنها حملات کامل مربوط به HIDS و NIDS را ذکر کرده اند. علاوه بر این، آنها بر نیاز به استخراج ویژگی های موثر تأکید کردند که نقش مهمی در تشخیص نفوذ دارند. روش های تشخیص همراه با معیارهای مورد استفاده برای ارزیابی عملکرد NIDS مورد بحث قرار گرفت. یک شبکه عصبی مبتنی بر NIDS توسط Gowrison و همکاران [7] همراه با الگوریتم تقویت شده با پیچیدگی محاسباتی کمتر پیشنهاد شده است. همچنین آنها ارتباط میان ترکیبی از ویژگی ها و حملات را در قالب دستور نشان دادند [29]. آزمایشات انجام شده بر روی KDDCUP'99 انجام شد. یک کار مشابه نیز توسط Weiming و همکاران [22] با روش های پارامتری مبتنی بر Adaboost آنلاین انجام شده است.
توصیف DATASET
در این کار، ما از مجموعه داده KDD CUP 99 [14] استفاده کردیم که شامل انواع عادی و حمله (22 نوع مختلف) است. هر رکورد از داده ها از گروهی از بسته ها که بیش از ۲ پنجره دوم اتصال که به یک مقصد ایجاد شده است، ساخته شده است. هر رکورد داده دارای 41 ویژگی (34 عدد، 4 باینری و 3 عدد) است. 9 ویژگی اول نشان دهنده اطلاعات آماری اولیه بسته ها بر روی یک اتصال است، ویژگی های بعدی 13 ویژگی محتوای بسته ها را نشان می دهد، و 9 ویژگی دیگر نشان دهنده اطلاعات ترافیکی است. 9 ویژگی های دیگر ویژگی های میزبان را نشان می دهد. انواع مختلفی از حمله وجود دارد که در طی یک زمان وارد شبکه می شوند و حملات به چهار طبقه اصلی زیر تقسیم می شوند. آنها به طور خلاصه شرح داده می شوند:
• Denial of Service (Dos): مهاجمان سعی می کند از استفاده از یک سرویس از کاربران قانونی جلوگیری کند.
• از راه دور به محلی (R2L): مهاجم دارای حساب کاربری در دستگاه قربانی نیست، بلکه تلاش می کند دسترسی به آن را داشته باشد.
• کاربر به ریشه (U2R): مهاجم دارای دسترسی محلی به دستگاه قربانی است و تلاش می کند تا امتیازات فوق العاده کاربر را به دست آورد.
• Probe: مهاجم تلاش می کند اطلاعاتی در مورد میزبان هدف به دست آورد.
کار پیشنهاد شده
در طول چند سال گذشته تعداد بیشتری از کارهای تحقیقاتی تکنیک های داده کاوی را به اشکال مختلفی اعمال کرده اند. در کار پیشنهادی، ما آنها را در سیستم تشخیص نفوذ پذیرفته ایم. شکل 1 معماری کار پیشنهادی را نشان می دهد. انتخاب ویژگی های مهم اولین گام برای تشخیص نفوذ است. انتخاب ویژگی فرآیند انتخاب زیر مجموعه ای از ویژگی های اصلی با توجه به معیارهای خاص است و برای داده هایی با ابعاد بالاتر اهمیت دارد. اجازه دهید F مجموعه ای از ویژگی های دارای تعداد "n" باشد. زیر مجموعه ای از ویژگی های پیچیده، 2n-1 است.
انتخاب ویژگی مبتنی بر فیلتر
ویژگی ها بر اساس ویژگی های کلی داده های آموزشی بدون تکیه بر الگوریتم های داده کاوی ارزیابی می شوند. این زیرمجموعه را با محتوای اطلاعات خود یا با اطلاعات متقابل یا با افزایش اطلاعات ارزیابی می کند. ما این ویژگی را با بزرگترین اطلاعات متقابل (MI) انتخاب کرده ایم. اطلاعات متقابل دو متغیر تصادفی با استفاده از آنتروپی محاسبه می شود که قادر به تعیین عدم قطعیت متغیرهای تصادفی و مقادیر اطلاعات به اشتراک گذاشته شده توسط آنها می باشد [24].
نتایج و بحث
آزمایشات مبتنی بر KDD CUP 99
در این مقاله مجموعه داده KDD CUP 99 برای راه اندازی تجربی مورد استفاده قرار می گیرد که یکی از مجموعه های محبوب برای تشخیص نفوذ است. همانطور که ذکر شد، پرونده ها به خوبی به عنوان عادی یا به عنوان نوع دقیق حمله در NSL-KDD برچسب گذاری شده اند.
نتیجه گیری و کار آینده
یکی از بیشترین چالش های تشخیص نفوذ شبکه، رسیدگی به اطلاعات گسترده برای تشخیص نفوذ است. میزان تشخیص NIDS بر اساس تعداد نمونه ها و همچنین تعداد ویژگی ها است. کاهش اندازه، افزایش دقت تشخیص و کاهش میزان مثبت کاذب، وظیفه حیاتی تکنیک های داده کاوی داده برای تشخیص نفوذ است. بیشتر روش موجود نمی تواند تمام یا بیشتر از 41 ویژگی را برای شناسایی نفوذ در شبکه و بر اساس مجموعه داده KDD CUP 99 و NSL-KDD استفاده کند. در این کار الگوریتم انتخاب جدید ویژگی برای انتخاب ویژگی با استفاده از KDD CUP 99 ارائه شده است. ما ویژگی های مناسب از تعداد کل ویژگی ها (41) را برای تشخیص نفوذ در شبکه انتخاب کردیم. چندین روش انتخاب ویژگی، بر اساس اطلاعات متقابل (MI) و پوشش با شبکه بیزین، C4.5 برای انتخاب ویژگی استفاده می شود. با تنها 10 ویژگی مناسب، عملکرد تشخیص بهتر از 41 ویژگی است و هزینه های محاسباتی برای طبقه بندی را کاهش می دهد. بهره وری تشخیص با ویژگی های مناسب بهبود می یابد. روش پیشنهادی ما برای انتخاب ویژگی، نتیجه بهتر را به جای روش موجود برای انتخاب ویژگی فراهم می کند. توسعه کار با استفاده از امکانات GPU در حال پیشرفت است تا زمان صرف شده برای محاسبه و بهبود نتایج را کاهش دهد.
این مقاله ISI در سال 2019 در نشریه الزویر و در مجله کامپیوتر و امنیت، توسط گروه علوم و مهندسی کامپیوتر منتشر شده و در سایت ای ترجمه جهت دانلود ارائه شده است. در صورت نیاز به دانلود رایگان اصل مقاله انگلیسی و ترجمه آن می توانید به پست دانلود ترجمه مقاله الگوریتم کرم شب تاب برای تشخیص نفوذ شبکه در سایت ای ترجمه مراجعه نمایید.