شناسایی حملات در شبکههای کامپیوتری از جنبهٔ اطّلاعات مورد استفاده در مرحلهٔ یادگیری، به دو دستهٔ تشخیص نفوذ و تشخیص ناهنجاری تقسیم می شود.
در تشخیص نفوذ، هم از ترافیک معمول و هم از ترافیک حمله استفاده میشود. برای انجام این مهم، روشهای متنوّعی مورد استفاده قرار گرفتهاند که در این پژوهش باید به اختصار مرور شده و در نهایت یکی از این روشها برای تشخیص حملات مورد استفاده قرار گیرند.
۱. مقدمه :
سیستمهای تشخیص نفوذ برای کمک به مدیران امنیتی سیستم در جهت کشف نفوذ و حمله به کار گرفته شده اند. هدف یک سیستم تشخیص نفوذ جلوگیری از حمله نیست و تنها کشف و احتماأل شناسایی حملات و تشخیص اشکالات امنیتی در سیستم یا شبکه ی کامپیوتری واعلام ٓان به مدیر سیستم است. عمومأ سیستمهای تشخیص نفوذ در کنار دیوارههای ٓاتش و به صورت مکمل امنیتی برای انها مورد استفاده قرار میگیرند.
امروزه دو روش اصلی برای تشخیص نفوذ به شبکه ها مورد استفاده قرار میگیرد.
1)مبتنی بر رفتار غیر عادی
2)مبتنی بر امضا یا تطبیق الگو
روش اول مبتنی بر تعیین میانگین انواع فعالیتها بر روی شبکه است. مثالً چند بار یک دستور مشخص توسط یک کاربر در یک تماس با یک میزبان(host) اجرا میشود. لذا در صورت بروز یک نفوذ امکان تشخیص ٓان به علت مخالف معمول بودن ٓان وجود دارد. اما بسیاری از حمالت به گونهای هستند که نمیتوان به راحتی وبا کمک این روش انها را تشخیص داد. تکنیکها و معیارهایی که در تشخیص رفتار غیرعادی به کارمیروند، عبارتند از
۱)تشخیص سطح استانه
۲)معیارهای اماری
۳)معیارهای قانونگرا
۴)سایر معیارها
روش دوم که در بیشتر سیستمهای موفق تشخیص نفوذ به کار گرفته میشود، IDS مبتنی بر امضا یا تطبیق الگو است. منظور از امضا مجموعه قواعدی است که یک حمله در حال انجام را تشخیص میدهد. دستگاهی که قرار است نفوذ را تشخیص دهد، با مجموعهای از قواعد بارگذاری می شود. هر امضا دارای اطلاعاتی است که به دستگاه نشان میدهد در داده های در حال عبور باید به دنبال چه فعالیتهایی بگردد. هرگاه ترافیک در حال عبور با الگوی موجود در امضا تطبیق کند، پیغام اخطار تولید میشود و مدیر شبکه را از وقوع یک نفوذ ٓاگاه میکند. در بسیاری از موارد، IDS علاوه بر ٓاگاه کردن مدیر شبکه، اتصال مرتبط با نفوذگر را راه اندازی مجدد میکند و یا با کمک یک فایروال و انجام عملیات کنترل دسترسی با نفوذ بیشتر مقابله میکند. باید در نظر گرفت که استفاده از ترکیبی از دو روش مبتنی بر ٓامار و بر امضا بهترین نتایج را به دست میدهد.
انواع معماری سیستمهای تشخیص نفوذ:
(HIDS) سیستم تشخیص نفوذ مبتنی بر میزبان
(NIDS) سیستم تشخیص نفوذ مبتنی بر شبکه
(DIDS) سیستم تشخیص نفوذ توزیع شده
مجموعه ای از الگوریتم های(راهکارهای) معروف تشخیص نفوذ عبارت است :
۱) Bayesian approaches
2)decision trees
3)rule based models and function studying and lazy functions
۲. کارهای مرتبط
۳. آزمایشها
۴. کارهای آینده
`پیاده سازی روش های زیر است.
NB Tree:
پیوندی بین درخت تصمیم و نیتیو بیس است و از ان درختی ایجاد میکند که برگ هایش نیتیو بیس است . ان کاملا عقلانی است که درخت ان بی بتواند بهتر از نیتیو بیس باشد اما در عوض ممکن است از نظر سرعت دچار مشکل بشود.
Decision Table:
جدول تصمیم گیری می سازد ویژگی های مجموعه با استفاده از سرچ Best -First و cross-validation میتواند برای ارزیابی استفاده شود.
OneR:
یک الگوریتم ساده ای با استفاده از based model است. که یک سطح درخت تصمیم طراحی میکند و یک مجموعه ای از قوانین که ویژگی خاص خود را نشان میدهد را تست می کند .OneR یک روش ساده و ارزان است که اغلب با روش های خوب برای مشخص کردن ساختار اطلاعات به کار برده میشود.
۵. مراجع
Kabiri, Peyman, and Ali A. Ghorbani. "Research on Intrusion Detection and Response: A Survey." IJ Network Security 1.2 (2005): 84-102.
Paul Innella and Oba McMillan, “An Introduction to Intrusion Detection Systems”, .2001
Axelsson, S. (1999). Research in intrusion-detection systems: A survey. Technical report TR 98-17. Göteborg, Sweden: Department of Computer Engineering, Chalmers University of Technology.
Barbara, D., Couto, J., Jajodia, S., & Wu, N. (2001). ADAM: A testbed for exploring the use of data mining in intrusion detection. ACM SIGMOD Record, 30 (4), 15--24.
Application of Data Mining to Network Intrusion Detection: Classifier Selection Model/Huy Anh Nguyen and Deokjai Choi