چکیده:
نقش یک سامانه تشخیص نفوذ برای آشکارسازی ناهنجاریها در شبکه از اهمیت زیادی برخوردار است. حملات جدید و ناشناخته موجب ناکارآمدی راهکارهای شناسایی مبتنی بر امضاء و در نتیجه استفاده از راهکارهای شناسایی مبتنی بر ناهنجاری شده است. این راهکارها نیز علیرغم توانایی بالا در تشخیص ناهنجاریها، از نرخ مثبت کاذب بالایی رنج میبرند. برای غلبه بر این مشکل، ایده استفاده از آشکارسازهای ترکیبی مطرح شده است. در این مقاله، راهکاری نوین مبتنی بر روش آشکارسازی ترکیبی با یک معماری چهارلایهای پیشنهاد شده است. لایه اول از واحد تحلیلگر جریان دادهها و واحد طبقهبندی تشکیل شده است که برای طبقهبندی نوع سرویسهای شبکه از ترکیب روش آماری n-گرام و الگوریتم ژنتیک استفاده میکند. در لایه تشخیص نفوذ، یک واحد آشکارساز مبتنی بر امضاء و واحدهای آشکارساز مبتنی بر ناهنجاری به شکل ترکیبی پیادهسازی شدهاند که متناسب با برچسب نوع سرویسها فراخوانی میشوند. سپس، درنتیجه پردازش این واحدها، لایه تصمیمگیری فراخوانی میشود. این لایه ماهیت حمله و نوع پاسخ را تشخیص داده و لایه مدیریت وقایع را فرا میخواند. در این لایه ضمن اطلاعرسانی هشدارها به مدیر شبکه، در صورت نیاز، اعمال واکنشی و اقدامات امنیتی لازم نیز انجام خواهد شد. نتایج حاصل از ارزیابی اعتبارسنجی چندلایهای، بهبود دقت تشخیص نفوذ را 81/99% نشان میدهد که در نتیجه کاهش میزان نرخ مثبت کاذب را در پی خواهد داشت.
خلاصه ماشینی:
"در اینجا نیز متناسب با خطمشی تعیینشده از سوی مدیر شبکه نوع پاسخ و واکنش به رویداد حمله تصمیمسازی میشود اما درحالیکه نوع سرویس شبکه قابل شناسایی نباشد جریان دادهای به گروهی از واحدهای آشکارساز با دقت بالا که بهصورت ترکیبی پیادهسازی شدهاند ارسال میگردد، سپس نتیجه پردازش واحدها جهت بررسی به واحد تصمیمساز ارسال تا نسبت به نوع پاسخ و واکنش به رویداد حمله در صورت تشخیص نفوذ، تصمیمسازی و متناسب با نوع پاسخ تعیینشده لایه مدیریت ثبت وقایع و هشدارها فراخوانی میگردد.
در این پژوهش از مدلهای یادگیری ماشین که با مجموعه دادههای NSL-KDD از قبل آموزش دیدهاند استفاده شده است؛ بنابراین با فرض اینکه این مدلها براساس معیار دقت مرتب شده باشند نتیجه پردازش واحدهای آشکارساز (مدلهای یادگیری ماشین) بهترتیب اولویت به لایه تصمیمگیری ارسال میگردد و برحسب میزان ضریب هشدار نفوذ تعیینشده واحد تصمیمساز درصورت تشخیص ناهنجاری تا با وزندهی به واحدهای آشکارساز و دخیلنمودن ضریب هشدار نفوذ سپس در صورت رأی اکثریت نسبت به پاسخ هشدار مناسب تصمیمسازی میگردد.
در این پژوهش بهمنظور پاسخ و واکنش به رویداد حمله از روش فعال 13 برای روش مبتنی بر امضاء و غیرفعال 14 برای روش مبتنی بر ناهنجاری متناسب با نوع پاسخ تعیینشده در لایه تصمیمگیری استفاده شده است و ضمن اطلاعرسانی هشدارها به مدیر شبکه، در صورت نیاز، اعمال واکنشی و اقدامات امنیتی لازم نیز انجام خواهد شد."