IDS: Intrusion Detection System
intrusion detection system concepts and techniquesIDS: Intrusion Detection System
intrusion detection system concepts and techniques
دسته بندی ترافیک شبکه با استفاده از خوشه بندی فازی برای امنیت شبکه
در این بخش به معرفی مقاله" Classification of Network Traffic Using Fuzzy Clustering for Network Security" در خصوص دسته بندی ترافیک شبکه با استفاده از خوشه بندی فازی برای امنیت شبکه می پردازیم.
مقدمه :
با توجه به اینکه استفاده از شبکه های کامپیوتری به امری عادی در اجتماع تبدیل شده است نیاز است که توجه ویژه ای به حملات مخرب و نفوذ معطوف گردد.این نیازمندی ها موجب پیدا شدن تکنیک های قابل اعتماد و قوی برای محافظت از شبکه ها می گردد.سیستم تشخیص نفوذ یک ابزار مدیریت شبکه را برای تشخیص رفتار های نرمال از غیر نرمال در بسته های ترافیکی شبکه فراهم می نماید.سیستم تشخیص نفوذ این توانایی را دارد که نفوذ های شبکه شامل حملات مخرب ، دسترسی های غیر مجاز و دیگر رفتار های ناهنجار را شناسایی نماید.با توجه به حجم بالایی از ترافیک که در حال حاضر در شبکه ها وجود دارد بکارگیری تجزیه و تحلیل داده های بزرگ Big Data راهکار های امید بخشی را برای تشخیص نفوذ گر ها فراهم می کند.اغلب سیستم های تشخیص نفوذ از تکنیک های تشخیص الگوی غیر نظارت شده(unsupervised) و یا نظارت شده(supervised) برای ساخت دسته بندی کننده های متا (meta-classifiers) که برای تشخیص مورد بهره بردرای قرار می گیرد استفاده می کنند.این متدلوژها شامل مدل های آماری(statistical models) ، راهکار های سیستم ایمنی(immune system) ، تایید پروتکل (protocol verification)،بررسی فایل ، شبکه های عصبی ، لیست سفید whitelisting، تطبیق عبارت (expression matching) ،زبان های اختصاصی (dedicated languages)،تجزیه و تحلیل گذار حالت(state transition analysis)، الگوریتم ژنتیک و ...[1, 2].عملکرد این تکنیک ها تنها در محیط های خوب تعریف شده (well-defined) رضایت بخش است.آنها توانایی شناسایی حملات پیچیده و یا ناشناخته را ندارند و همینطور قدرت سازگار شدن بامحیط های داینامیک مثل شبکه های موبایل را نیز ندارند . [3].خوشه بندی فازی نشان داده است که نسبت به خوشه بندی های سنتی مزیت های بیشتری دارد و بر محدودیت های دیگر روشها در محیط های داینامیک و حملات ناشناخته غلبه می نماید.[4] صرف نظر از کارایی عالی روش خوشه بندی فازی اغلب متد های فعلی از برخی از محدودیت ها رنج می برند.Jiang [5] برای استفاده از یک الگوریتم خوشه بندی فازی c-means تلاش نمود ، اما سیستم تولید شده دارای مقدار پایین تشخیص موفق بین 75-85 درصد بود و دیگر تلاش ها نیز از نرخ بالای FP رنج می بردند [6, 7, 8].در این تحقیق از خوشه بندی فازی c-means برای دسته بندی بسته های TCP به نرمال و یا نفوذ استفاده می شود.خوشه ها بوسیله آنالیز مجموعه داده های خیلی بزرگ از بسته های TCP ایجاد می شوند.تست های اولیه حاکی از این است که روش پیشنهادی یک تشخیص عالی برای بسته های مخرب فراهم می کند بدون اینکه نرخ fp بالایی داشته باشد.
خوشه بندی فازی c-means:
بر خلاف خوشه بندی ها سنتی خوشه بندی فازی c-means اجازه می دهد که یک آیتم داده به چندین خوشه متعلق باشد.مقدار تعلق یک آیتم به خوشه مانند یک مجموعه فازی نمایش داده می شود.FCM(fuzzy c-means clustering) توسط Dunn [10] توسعه داده شده و بوسیله Bezdek [11, 12] بازنگری شده است.
امنیت شبکه با استفاده از خوشه بندی فازی:
امنیت شبکه با استفاده از خوشه بندی فازی سه فاز دارد که در شکل نشان داده شده است.در فاز اول و دوم سیستم دسته بندی ساخته می شود و در سومین فاز سیستم تشخیص نفوذ واقعی پیاده سازی می شود .فازهای مورد نظر به شرح ذیل می باشند
1-انتخاب زیر مجموعه ویژگی(Feature subset selection) :
از تکنیک های کاهش ابعاد(dimension reduction) برای کاهش تعداد ویژگی های بسته TCP که برای دسته بندی یک بسته در خوشه بندی فازی مورد نیاز است استفاده می شود.
2-خوشه بندی فازی :
خوشه بندی فازی برای تعیین نمودن centroid تعداد n خوشه اعمال می گردد.ان دسته از خوشه هایی که عمدتا بوسیله بسته های مخرب پر می شوند برچسب می شوند.
3-دسته بندی بسته های TCP ورودی:
.به محض اینکه بسته ای وارد شد،میزان درجه عضویت آن در هر خوشه مشخص شده و آنهایی که دارای ارتباط قوی با خوشه هایی که به عنوان مخرب شناسایی شده اند می باشند برچم زده می شوند.
