• صفحه اصلی
  • ارائه یک روش جدید برای تشخیص نفوذ و رفتارهای مخرب در داده های حجیم

اشتراک گذاری

آدرس مقاله


کد مقاله : TEEGES-2401-1124 (R1) بازدید : 196 صفحه: 75 - 97

10.30486/TEEGES.2024.904864

نوع مقاله: پژوهشی

ارائه یک روش جدید برای تشخیص نفوذ و رفتارهای مخرب در داده های حجیم

محورهای موضوعی : مهندسی برق و کامپیوتر

هما موحد نژاد 1 , محسن پورشعبان 2 , احسان یزدانی چمزینی 3 , الهه همتی اشنی 4 , مهدی شریفی 5

1 - دانشکده مهندسی کامپیوتر، واحد نجف آباد، دانشگاه آزاد اسلامی، نجف آباد، ایران
2 - دانشکده مهندسی کامپیوتر، واحد نجف آباد، دانشگاه آزاد اسلامی، نجف آباد، ایران
3 - دانشکده مهندسی کامپیوتر، واحد نجف آباد، دانشگاه آزاد اسلامی، نجف آباد، ایران
4 - دانشکده مهندسی کامپیوتر، واحد نجف آباد، دانشگاه آزاد اسلامی، نجف آباد، ایران
5 - دانشکده مهندسی کامپیوتر، واحد نجف آباد، دانشگاه آزاد اسلامی، نجف آباد، ایران

تاریخ دریافت : 1402/10/13 تاریخ پذیرش : 1403/02/04 تاریخ انتشار : 1403/12/29

کلید واژه: تشخیص نفوذ, رفتارهای مخرب, الگوریتم ماشین بردار پشتیبان, کلان داده¬ها, الگوریتم غذایابی باکتری,

چکیده مقاله :

امروزه حفظ امنیت اطلاعات و تشخیص نفوذ به¬منظور مقابله با رفتارهای مخرب در داده¬های حجیم از اهمیت بسزایی برخوردار است. در این مقاله یک روش ترکیبی نرم¬افزاری سخت¬افزاری برای تشخیص داده¬های مخرب ارائه شده است. در این روش سه فاکتور پیشرفت زمانی، تاریخچه کاربران و مقیاس¬پذیری لحاظ شده است. در روش پیشنهادی از تکنیک¬های ذخیره¬سازی و استخراج ویژگی جهت افزایش سرعت و کاهش حجم محاسبات استفاده می¬شود. همچنین برای طبقه¬بندی از الگوریتم ماشین بردار پشتیبان تغییر یافته و برای عملیات استخراج ویژگی‌ها از الگوریتم غذایابی باکتری بصورت موازی‌سازی شده، بهره برده شده است. نتایج نشان می‌دهد که الگوریتم پیشنهادی نسبت به سایر روش¬های مشابه، از نظر نرخ تشخیص 21%، نرخ مثبت کاذب 62%، دقت 15% و زمان اجرا 70% بهتر عمل می¬کند. کاهش زمان اجرا بیانگر آن است که برای اجرای الگوریتم به انرژی مصرفی کمتری نیاز است که در نتیجه می‌تواند علاوه بر صرفه‌جویی انرژی؛ جهت بکارگیری در سیستم‌های انرژی سبز نیز سودمند باشد.

چکیده انگلیسی:

Today, maintaining information security and intrusion detection is very important to deal with malicious behaviors in massive data. In this article, a hybrid method for detecting malicious data is presented wherein three factors of time progress, history of users and scalability are taken into account. The proposed method utilizes storage and feature extraction techniques to increase the speed and reduce the amount of calculations. In addition, the support vector machine algorithm has been modified for classification, and the parallelized bacterial foraging optimization algorithm has been used for feature extraction. The results show that the proposed algorithm outperforms the existing methods in terms of detection rate by 21%, false positive rate by 62%, accuracy by 15% and execution time by 70%. The reduction in execution time indicates that less energy is needed to run the algorithm which results in saving energy and can be beneficial for use in green energy systems.

منابع و مأخذ:

[1] T. Miyato, S.-i. Maeda, M. Koyama, and S. Ishii, "Virtual adversarial training: a regularization method for supervised and semi-supervised learning," IEEE transactions on pattern analysis and machine intelligence, vol. 41, no. 8, pp. 1979-1993, 2018. doi: 10.1109/TPAMI.2018.2858821
[2] R. A. Dara, T. Khan, J. Azim, O. Cicchello, and G. Cort, "A semi-supervised approach to customer relationship management," in Artificial Intelligence and Soft Computing, 2006, pp. 58-64.
[3] A. Dutt, S. Aghabozrgi, M. A. B. Ismail, and H. Mahroeian, "Clustering algorithms applied in educational data mining," International Journal of Information and Electronics Engineering, vol. 5, no. 2, p. 112, 2015. doi: 10.7763/IJIEE.2015.V5.513
[4] C. Guo, H. Tang, B. Niu, and C. B. P. Lee, "A survey of bacterial foraging optimization," Neurocomputing, vol. 452, pp. 728-746, 2021. doi:10.1016/j.neucom.2020.06.142
[5] H. Chen, Q. Zhang, J. Luo, Y. Xu, and X. Zhang, "An enhanced bacterial foraging optimization and its application for training kernel extreme learning machine," Applied Soft Computing, vol. 86, p. 105884, 2020. doi: 10.1016/j.asoc.2019.105884.
[6] D. A. Pisner and D. M. Schnyer, "Support vector machine," in Machine learning: Elsevier, 2020, pp. 101-121. doi: 10.1016/B978-0-12-815739-8.00006-7.
[7] C. Campbell and Y. Ying, Learning with support vector machines. Springer Nature, 2022. doi:10.1007/978-3-031-01552-6.
[8] N. A. Seresht, R. Azmi, and B. Pishgoo, "A new clonal selection algorithm based on radius regularization of anomaly detectors," in The 16th CSI International Symposium on Artificial Intelligence and Signal Processing (AISP 2012), 2012: IEEE, pp. 497-502. doi: 10.1109/AISP.2012.6313798.
[9] P. Rahul, S. Kedia, Sarangi, and Monika, "Analysis of machine learning models for malware detection," Journal of Discrete Mathematical Sciences and Cryptography, vol. 23, no. 2, pp. 395-407, 2020. doi:10.1080/09720529.2020.1721870.
[10] K. Asrigo, L. Litty, and D. Lie, "Using VMM-based sensors to monitor honeypots," in Proceedings of the 2nd international conference on Virtual execution environments, 2006, pp. 13-23. doi:10.1145/1134760.1134765.
[11] I. Bello et al., "Detecting ransomware attacks using intelligent algorithms: Recent development and next direction from deep learning and big data perspectives," Journal of Ambient Intelligence and Humanized Computing, vol. 12, pp. 8699-8717, 2021. doi:10.1007/s12652-020-02630-7.
[12] P. Kumar, G. P. Gupta, and R. Tripathi, "Toward design of an intelligent cyber attack detection system using hybrid feature reduced approach for iot networks," Arabian Journal for Science and Engineering, vol. 46, pp. 3749-3778, 2021. doi:10.1007/s13369-020-05181-3.
[13] M. Rabbani, Y. L. Wang, R. Khoshkangini, H. Jelodar, R. Zhao, and P. Hu, "A hybrid machine learning approach for malicious behaviour detection and recognition in cloud computing," Journal of Network and Computer Applications, vol. 151, p. 102507, 2020. doi:10.1016/j.jnca.2019.102507.
[14] J. O. Onah, M. Abdullahi, I. H. Hassan, and A. Al-Ghusham, "Genetic Algorithm based feature selection and Naïve Bayes for anomaly detection in fog computing environment," Machine Learning with Applications, vol. 6, p. 100156, 2021. doi:10.1016/j.mlwa.2021.100156.
[15] F. Jemili, "Intelligent intrusion detection based on fuzzy Big Data classification," Cluster Computing, vol. 26, no. 6, pp. 3719-3736, 2023. doi:10.1007/s10586-022-03769-y.
[16] G. T. Reddy et al., "Analysis of dimensionality reduction techniques on big data," Ieee Access, vol. 8, pp. 54776-54788, 2020. doi:10.1109/ACCESS.2020.2980942.
[17] Y. Xu, Y. Sun, Z. Ma, H. Zhao, Y. Wang, and N. Lu, "Attribute selection based genetic network programming for intrusion detection system," Journal of Advanced Computational Intelligence and Intelligent Informatics, vol. 26, no. 5, pp. 671-683, 2022. doi:10.20965/jaciii.2022.p0671.
[18] D. A. Salih, Y. A. Mohamed, and M. Bashir, "Enhancing intrusion detection system performance against low frequent attacks using FC-ANN algorithem," Journal of Engineering Science and Technology, vol. 18, no. 5, pp. 2411-2431, 2023.
[19] H.-M. Lee and S.-J. Lee, "A Study on Security Event Detection in ESM Using Big Data and Deep Learning," International Journal of Internet, Broadcasting and Communication, vol. 13, no. 3, pp. 42-49, 2021. , doi:10.7236/IJIBC.2021.13.3.42
[20] M. Naveed et al., "A Deep Learning-Based Framework for Feature Extraction and Classification of Intrusion Detection in Networks," Wireless Communications and Mobile Computing, vol. 2022, 2022. doi:10.1155/2022/2215852.
[21] A. A. Alqarni, "Toward support-vector machine-based ant colony optimization algorithms for intrusion detection," Soft Computing, vol. 27, no. 10, pp. 6297-6305, 2023. doi:10.1007/s00500-023-07906-6.
[22] W. Mao, Z. Cai, Y. Yang, X. Shi, and X. Guan, "From big data to knowledge: A spatio-temporal approach to malware detection," Computers & Security, vol. 74, pp. 167-183, 2018. doi:10.1016/j.cose.2017.12.005.
[23] M. M. Shetty and D. Manjaiah, "Advanced Threat Detection Based on Big Data Technologies," in Cyber Warfare and Terrorism: Concepts, Methodologies, Tools, and Applications: IGI Global, 2020, pp. 808-822. ,doi:10.4018/978-1-5225-3015-2.ch001.
[24] M. Rabbani et al., "A review on machine learning approaches for network malicious behavior detection in emerging technologies," Entropy, vol. 23, no. 5, p. 529, 2021. doi:10.3390/e23050529.
[25] C.-H. Liu and W.-H. Chen, "The Study of Using Big Data Analysis to Detecting APT Attack," Journal of Computers, vol. 30, no. 1, pp. 206-222, 2019. doi:10.3966/199115992019023001020.
[26] G. Xu, W. Su, and Z. He, "An Efficient implementation of Network Malicious Traffic Screening based on Big Data Analytics," in 2021 2nd International Conference on Smart Electronics and Communication (ICOSEC), 2021: IEEE, pp. 1274-1277.doi: 10.1109/ICOSEC51865.2021.9591700
[27] J. Kevric, S. Jukic, and A. Subasi, "An effective combining classifier approach using tree algorithms for network intrusion detection," Neural Computing and Applications, vol. 28, no. Suppl 1, pp. 1051-1058, 2017. doi:10.1007/s00521-016-2418-1.
متن کامل:
الگوي تهيه مقالات

هما موحد نژاد، محسن پورشعبان، احسان یزدانی چمزینی، الهه همتی اشنی، مهدی شریفی

img0 

 

Technovations of Electrical Engineering in Green Energy System

img0 

Research Article                                                                                     (2025) 3(4):75-97

 

A New Approach to Detecting Intrusion and Malicious Behaviors in Big Data

Homa Movahednezhad1,2, Assistant Professor, Mohsen Porshaban1,2, PhD Student,

Ehsan Yazdani Chamzini1,2, PhD Student, Elahe Hemati Ashani1,2, PhD Student,

Mahdi Sharifi1,2, Assistant Professor

 

1 Faculity of Computer Engineering, Najafabad Branch, Islamic Azad University, Najafabad, Iran.

2 Big Data Research Center, Najafabad Branch, Islamic Azad University, Najafabad, Iran

 

Abstract:

Today, maintaining information security and intrusion detection is very important to deal with malicious behaviors in massive data. In this article, a hybrid method for detecting malicious data is presented wherein three factors of time progress, history of users and scalability are taken into account. The proposed method utilizes storage and feature extraction techniques to increase the speed and reduce the amount of calculations. In addition, the support vector machine algorithm has been modified for classification, and the parallelized bacterial foraging optimization algorithm has been used for feature extraction. The results show that the proposed algorithm outperforms the existing methods in terms of detection rate by 21%, false positive rate by 62%, accuracy by 15% and execution time by 70%. The reduction in execution time indicates that less energy is needed to run the algorithm which results in saving energy and can be beneficial for use in green energy systems.

Keywords: Intrusion detection, Malicious behavior, Support vector machine algorithm, Big data, Bacterial foraging optimization algorithm.

 

 

 

 

 

 

 

 

 

 

Received: 03 January 2024

Revised: 03 April 2024

img0Accepted: 23 April 2024

Corresponding Author: Dr. Mahdi Sharifi, email: m.sharifi@pco.iaun.ac.ir

DOI: 10.30486/TEEGES.2024.904864

img0 


 

img0 

فناوری‏های نوین مهندسی برق در سیستم انرژی سبز

          مقاله پژوهشی         

 

ارائه یک روش جدید برای تشخیص نفوذ و رفتارهای مخرب در داده­های حجیم

هما موحد نژاد1و2، استادیار، محسن پورشعبان1و2، دانشجوی دکتری ، احسان یزدانی چمزینی1و2، دانشجوی دکتری،

الهه همتی اشنی1و2، دانشجوی دکتری، مهدی شریفی1و2، استادیار

 

 -1دانشکده مهندسی کامپیوتر، واحد نجف آباد، دانشگاه آزاد اسلامی، نجف آباد، ایران

 -2مركز تحقيقات کلان داده، واحد نجف آباد، دانشگاه آزاد اسلامی، نجف آباد، ایران

 

چکیده : امروزه حفظ امنیت اطلاعات و تشخیص نفوذ به­منظور مقابله با رفتارهای مخرب در داده­های حجیم از اهمیت بسزایی برخوردار است. در این مقاله یک روش ترکیبی نرم­افزاری سخت­افزاری برای تشخیص داده­های مخرب ارائه شده است. در این روش سه فاکتور پیشرفت زمانی، تاریخچه کاربران و مقیاس­پذیری لحاظ شده است. در روش پیشنهادی از تکنیک­های ذخیره­سازی و استخراج ویژگی جهت افزایش سرعت و کاهش حجم محاسبات استفاده می­شود. همچنین برای طبقه­بندی از الگوریتم ماشین بردار پشتیبان تغییر یافته و برای عملیات استخراج ویژگی‌ها از الگوریتم غذایابی باکتری بصورت موازی‌سازی شده، بهره برده شده است. نتایج نشان می‌دهد که الگوریتم پیشنهادی نسبت به سایر روش­های مشابه، از نظر نرخ تشخیص 21%، نرخ مثبت کاذب 62%، دقت 15% و زمان اجرا 70% بهتر عمل می­کند. کاهش زمان اجرا بیانگر آن است که برای اجرای الگوریتم به انرژی مصرفی کمتری نیاز است که در نتیجه می‌تواند علاوه بر صرفه‌جویی انرژی؛ جهت بکارگیری در سیستم‌های انرژی سبز نیز سودمند باشد.

واژه های کلیدی: تشخیص نفوذ، رفتارهای مخرب، الگوریتم ماشین بردار پشتیبان، کلان داده­ها، الگوریتم غذایابی باکتری.

 

 

 

تاریخ ارسال مقاله: ۱۳/10/1402

تاریخ بازنگری مقاله: ۱۵/0۱/140۳

تاریخ پذیرش مقاله: ۰۴/0۲/140۳

img0نویسنده­ی مسئول: دکتر مهدی شریفی، m.sharifi@pco.iaun.ac.ir

DOI: 10.30486/TEEGES.2024.904864 

img0 

 

1-       مقدمه

به دلیل تنوع سرویس­های دیجیتال و رشد تکنولوژی هر بخش از سیستم در معرض حمله داده­های مخرب قرار دارد. با توجه به مقیاس، تنوع و سرعت داده­های مخرب، نرم افزارهای دفاع کننده باید با استفاده از یادگیری ماشین قادر باشند تا حمله­ها را تشخیص دهند. اولین تشخیص داده­های مخرب برای تشخیص نفوذ حدود 40 سال پیش توسط دنور انجام پذیرفت [1].  امروزه تشخیص داده­های مخرب شبکه سخت­تر و پیچیده­تر شده است. ولی مساله یافتن یک راه حل مناسب برای حجم بالای داده­های شبکه هنوز به­وجود نیامده است[2].

تحقیقاتی که در این زمینه انجام گرفته است می­توان به مطالعات موجود در[5-3] اشاره کرد که برای تشخیص داده­های مخرب از یادگیری ماشین با زبان جاوا استفاده کرده­اند و همچنین در تحقیقاتی دیگر می­توان به داده­های موبایل [6] تشخیص داده­های میزکار [7] تشخیص نفوذ شبکه [8] تشخیص اسپم [9] و تشخیص آدرس­های جعلی [10] اشاره نمود.

بر خلاف کاربردهای دیگر، یادگیری ماشین که برای تشخیص استفاده می­شوند مانند تشخیص متن یا چهره که در آنها شکل­ها و کاراکترهای ثابتی وجود دارد و تشخیص بر اساس آنها انجام می­شود، داده­های مخرب الگوی ثابتی ندارد و نیاز به تلاش بیشتری برای شناسایی وجود دارد  [11].  در واقع این نوع جستجو باید به صورت آنلاین باشد و در هر لحظه به­روزرسانی انجام دهد تا بتواند الگوهای خود را بسازد. این امر باعث ایجاد یک تاخیر می­شود و همین تاخیر می­تواند باعث شود دقت تشخیص داده­های مخرب پایین بیاید. سیستم­های تشخیص نفوذ برای کمک به مدیران امنیتی سیستم در جهت کشف نفوذ و حمله به کار گرفته شده است [12]. هدف این سیستم­ها تنها جلوگیری از حمله نمی­باشد بلکه کشف و شناسایی حملات و تشخیص اشکالات امنیتی در سیستم یا شبکه­های کامپیوتری و اعلام به مدیر است [13]. سیستم­های تشخیص نفوذ در کنار دیواره­های آتش و به صورت مکمل امنیتی مورد استفاده قرار می­گیرد. برخی از فواید این سیستم­ها شامل کارایی بیشتر در تشخیص نفوذ، منبع دانش کاملی از حملات، توانایی رسیدگی به حجم زیادی از اطلاعات، توانایی هشدار نسبتاً بلادرنگ که باعث کاهش خسارت می­شود.، دادن پاسخ های خودکار مانند قطع ارتباط کاربر، افزایش میزان بازدارندگی، توانایی گزارش دهی می­باشد [14].

از تکنیک­های دیگر می­توان به معیارهای آماری اشاره نمود. در نوع پارامتریک مشخصات جمع شده بر اساس یک الگوی خاص در نظر گرفته می­شود و بر اساس مقادیری که با تجربه حاصل شده الگو ساخته می­شود، مقایسه صورت می­گیرد. در این روش نیز به دلیل پارامتریک بودن بسیاری از داده­های مخرب را نمی­تواند شناسایی کند و دقت مورد نظر را نمی­تواند داشته باشد [15].

از معیارهای دیگر می­توان به معیارهای آماری غیر پارامتریک اشاره نمود که داده­های مشاهده شده را بر اساس الگوهای استفاده شده مشخصی به طور قابل قبول تعریف می­کند. اما با الگوهایی که به عنوان قانون مشخص شده فرق دارد و به صورت شمارشی نمی­باشد. متاسفانه در این تکنیک­ها ایجاد تعداد زیادی هشدار نادرست می­شود. زیرا الگوهای رفتاری از جانب استفاده­کنندگان و سیستم بسیار متفاوت است [16]. سیستم‌های تشخیص مبتنی بر امضا به میان آمدند که قادر به کشف حملات جدید هستند. در این تکنیک­ها الگوهای نفوذ از پیش ساخته شده به صورت قانون نگهداری می­شود به طوریکه هر الگو انواع مختلفی از یک نفوذ خاص را در بر گرفته است و در صورت بروز چنین الگویی در سیستم وقوع نفوذ اعلام می­شود. در این روشها معمولا تشخیص­دهنده دارای پایگاه داده­ای از امضاها یا الگوهای حمله می­باشند که سعی می­کنند با بررسی ترافیک شبکه الگوهای مشابه با آنچه را در پایگاه داده خود نگهداری می­کنند بیابد. این دسته از روش­ها تنها قادر به تشخیص نفوذ­های شناخته شده می­باشند و در صورت بروز حملات جدید در سطح شبکه نمی‌توانند آنها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سیستم تشخیص نفوذ اضافه نماید [17].

با گسترش شبکه‌های کامپیوتری، حفظ امنیت این شبکه‌ها نیز به یک اولویت بسیار مهم درآمده است. سیستم‌های تشخیص نفوذ به عنوان بخشی اساسی از زیرساخت‌های امنیتی شبکه‌ها شناخته می‌شوند. این سیستم‌ها به دو دسته تشخیص سوءاستفاده و تشخیص رفتار غیرعادی تقسیم می‌شوند. در دسته اول، تلاش می‌شود حملات با تشخیص الگوهای نفوذ شناسایی شوند، در حالی که رویکرد دوم توسعه‌ی روش‌های قبلی با استفاده از الگوهای رفتار عادی در شبکه را در برمی‌گیرد. در این روش، الگوهای رفتاری نرمال از پیش استخراج شده و نفوذ بر اساس انحراف از این الگوها تعریف می‌شود. در صورت مشاهده حتی کوچکترین انحراف، هشدار نفوذ فعال می‌گردد. از روش‌های مختلف در سیستم‌های تشخیص نفوذ استفاده می‌شود، که یکی از این روش‌ها، داده‌کاوی است. هرچند استفاده از سیستم‌های تشخیص نفوذ به عنوان یکی از راهکارهای اصلی برای افزایش امنیت در شبکه‌های کامپیوتری مورد استفاده قرار می‌گیرد. با این حال، راهکارهای امروزی برای تشخیص نفوذ با چالش‌های انتخاب مدل‌هایی با قابلیت اطمینان بیشتر در تشخیص نفوذ مواجه شده‌اند. بر همین اساس موضوع تشخیص نفوذ بعنوان یکی از چالش‌های اساسی در حوزه امنیت مطرح شده است. به منظور حل این چالش، در این تحقیق یک راهکار تشخیص نفوذ ترکیبی با استفاده از الگوریتم غذایابی باکتری (BFO) الگوریتم ماشین بردار پشتیبان (SVM) ارائه شده است. در واقع از این راهکار ترکیبی در جهت ارتقاء دقت تشخیص نفوذ در شبکه بهره برده شده است. با بهره‌گیری از این راهکار، ویژگی‌های مهم داده‌ها استخراج شده و از آن برای بهبود عملکرد کلی راهکار و طبقه‌بندی استفاده می‌شود. به کمک این رویکرد، کاهش ویژگی می‌تواند منجر به افزایش کارایی و دقت شود. در ادامه این بخش، جزئیات این روش تشریح شده است.

ادامه مقاله به این صورت سازماندهی شده است. در بخش 2 کارهای پیشین بحث شده است. بخش 3 به مدل پیشنهادی پرداخته است. ارزیابی و کارایی در بخش 4 آمده است و نهایتا در بخش 5 نتیجه­گیری و کارهای آینده مشخص شده است.

2-       کارهای پیشین

موضوع امنیت در داده های شبکه همواره یکی از موضوعات پیچیده و چالش برانگیز بوده است که به دلیل ماهیت آنها باید از ابزارها و روش های مناسب و کارآمد برای حفظ امنیت کاربران و اطلاعات آنها استفاده کرد. یکی از موثرترین روش‌هایی که در سال‌های اخیر بسیار مورد توجه فعالان امنیت شبکه قرار گرفته است، استفاده از سیستم‌های تشخیص نفوذ و ارتقای کارایی آن‌ها در مواجهه با حملات مزاحم است. برای داشتن یک IDS کارآمد، با توجه به ماهیت شبکه، یکی از اساسی­ترین عناصر و ویژگی­هایی که در تحلیل داده­های شبکه باید مورد توجه قرار گیرد، داشتن ماهیت داده­های حجیم این داده­ها است. به طور دقیق­تر، واضح است که ترافیک اینترنت به طور کلی در سال­های اخیر در جامعه مدرن رشد کرده است و ما انتظار داریم این روند ادامه یابد  بر همین اساس در [14] یک چارچوب تشخیص نفوذ برای داده‌های حجیم ارایه شده است این راهکار بر مبنای شبکه­ی بیزی به کمک روش بسته­بندی1 می‌باشد. در این مقاله، چارچوبی، مبتنی بر دوفاز برای تشخیص نفوذ در شبکه، ارائه شده است. در فاز اول، یک روش بسته­بندی برای انتخاب ویژگی مبتنی بر الگوریتم ژنتیک مورد استفاده قرار گرفته است. دلیل استفاده از روش بسته بندی در این پژوهش، دقت بالاتر آن نسبت به سایر روش­های انتحاب ویژگی، نظیر روش فیلتر، بیان شده است. بعد از ساخت مدل، به کمک مجموعه داده تست، دقت مدل ساخته شده بر روی ویژگی‌های انتخابی مورد بررسی قرار گرفته است. این روند تا رسیدن به شرط توقف، ادامه می‌یابد. در [15] از داده‌های فاقد برچسب به همراه روش‌های با نظارت، به منظور افزایش دقت سیستم‌های تشخیص نفوذ استفاده شده است. در این روش پیشنهادی، یک شبکه عصبی تک لایه، آموزش داده می‌شود تا توابع عضویت فازی و دسته بندی نمونه‌ها را بر روی داده‌های فاقد برچسب، ایجاد نمایند. در ادامه، هر یک از دسته­های ایجاد شده با مجموعه داده اولیه، ترکیب شده و آموزش مجدد بر روی روش دسته بندی، اعمال می‌گردد. روش پیشنهادی این تحقیق بر روی مجموعه داده‌ی NSL-KDD اعمال گردیده است. نتایج حاصل از تحقیق نشان دهنده تأثیر مؤثر داده‌های فاقد برچسب متعلق به گروه‌های فازی اول و سوم بر روی دقت دسته بند می‌باشد. در روش پیشنهادی در [16]، تأثیر PCA بر سیستم تشخیص نفوذ بررسی شده است. همچنین تعداد ایده آل مولفه های اصلی مورد نیاز برای تشخیص نفوذ و تأثیر داده‌های آلوده به نویز روی PCA نیز مورد توجه بوده است. مجموعه داده‌های با اندازه اصلی d × n به ساختاری با k مولفه اصلی معین، نگاشت شده‌اند و به مجموعه داده‌ای با اندازه‌ی k × n تبدیل یافته‌اند، که n تعداد نمونه‌ها و d تعداد ابعاد اصلی است. k تعداد مولفه های اصلی با محدوده‌ی تغییرات از 2 تا 20 است. نتایج انجام آزمایشات دقت طبقه بندی برای 10 مولفه اصلی به ترتیب در حدود 7.99 % و 8.98 % می‌باشد که تقریباً همان دقت به دست آمده با استفاده از 41 ویژگی از 31279 نمونه برای مجموعه داده‌یKDD  و 28 ویژگی از 33746 نمونه برای مجموعه داده ISCX می‌باشد. در [17] یک مدل تشخیص نفوذ بر مبنای کاوش قواعد انجمنی به وسیله برنامه­ریزی ژنتیک ارائه شده است. در این تحقیق، یک روش کاوش قواعد انجمنی فازی بر مبنای برنامه ریزی شبکه ژنتیک (GNP2) برای تشخیص نفوذ در شبکه­های کامپیوتری پیشنهاد شده است. روش GNP یک روش بهینه­سازی تکاملی است که به جای استفاده از رشته­ها از گراف­های جهت­دار یا درخت در برنامه­ریزی ژنتیک استفاده می­کند که این امر منجر به بهبود قدرت نمایش راه حل با برنامه نویسی کمتر می­شود. نتایج حاصل از پیاده­سازی این تحقیق بر روی داده­های KDD99Cup و DARPA98 مورد بررسی قرار گرفته است و نشان داده شده است که می­تواند دقت تشخیص نفوذ را تا حد مناسبی بالا ببرد. در [18] روشی تحت عنوان FC-ANN بر مبنای روش­های شبکه‌ی عصبی مصنوعی3 و خوشه­بندی فازی به منظور تشخیص نفوذ ارائه شده است تا از طریق آن بتوان به نرخ دقت بالاتری در سیستم‌های تشخیص نفوذ دست یافت. در این روش در قدم اول به کمک روش خوشه بندی فازی، زیر مجموعه‌های آموزش مختلفی ایجاد می‌گردد. در ادامه، بر مبنای این زیر مجموعه­های آموزشی ایجاد شده، شبکه عصبی مصنوعی مختلفی آموزش می‌بینند تا چندین مدل متفاوت ایجاد گردند. در انتها از یک روش تجمعی فازی برای جمع بندی نتایج حاصل از مدل‌های مختلف استفاده می‌شود. نتایج این تحقیق بر روی مجموعه داده KDD99Cup مورد ارزیابی قرار گرفته است. در [19] یک سیستم تشخیص نفوذ بر مبنای دسته بندی چندگانه‌ی نایو بیز مخفی (4HNB)، به منظور تشخیص نفوذ در شبکه­های کامپیوتری ارائه شده است. محققان در این تحقیق بیان داشتند که روش HNB  قابل اعمال بر روی مسائل تشخیص نفوذ با ابعاد5 بالا و ویژگی‌های وابسته بهم6 می‌باشد. روش HNB یک روش داده کاوی است که فرض‌های موجود در روش نایوبیز7 را تعدیل می‌نماید. پیاده سازی و ارزیابی روش مطرح شده در این تحقیق برای مجموعه داده KDD نشان می‌دهد که روش HNB نسبت به روش نایوبیز برتری قابل توجه ای در زمینه بهبود نرخ دقت و کاهش نرخ خطا دارد. در تحقیق انجام شده دئدر [20]، یک مدل تشخیص نفوذ با استفاده از ترکیب انتخاب ویژگیSquare-Chi  و SVM8 چندکلاسه ارائه شده است. بسیاری از سیستم‌های تشخیص نفوذ، تنها از یک الگوریتم طبقه بندی جهت دسته بندی ترافیک شبکه بعنوان نرمال و غیرنرمال استفاده می‌کنند. با توجه به میزان زیاد داده‌ها، این مدل از طبقه بندها موفق به دستیابی با نرخ تشخیص حمله بالا و کاهش نرخ هشدار غلط نمی‌شوند. با این حال، در این راهکار با استفاده از کاهش ابعاد داده‌ها توانسته­اند به یک مجموعه  بهینه از ویژگی‌ها بدون از دست دادن اطلاعات دست یابند و سپس با استفاده از روش مدل سازی چندکلاسه، شناسایی حملات شبکه‌ای متفاوت را طبقه بندی کرده­اند. در [21] از طریق تلفیق روش‌های ماشین بردار پشتیبان، راهکاری برای دسته­بندی داده­ها جهت تشخیص نفوذ در شبکه‌های کامپیوتری شده است. هدف از این روش، دسته بندی داده‌های نرمال و غیرنرمال با دقت بالا و همچنین کاهش نرخ خطا بیان شده است. در این مقاله از تلفیق روش ماشین بردار پشتیبان و روش خوشه بندی مبتنی بر شبکه کلونی مورچه خود سازمانده9 استفاده شده است. روش مطرح شده در این مقاله با مجموعه داده KDD99Cup مورد ارزیابی قرار گرفته است و نتایج حاصل از پیاده سازی روش بیانگر این موضوع است که روش تلفیقی مطرح شده از هر یک از روش‌های ماشین بردار پشتیبان و روش شبکه کلونی مورچه خود سازمانده برتری دارد. در جدول 1 خلاصه‌ای از راهکارهای پیشینۀ تحقیق بیان شده است.

جدول (1): خلاصه‌ای از راهکارهای پیشینۀ تحقیق

مجموعه داده

نوع یادگیری

روش داده‌کاوی

نوع تشخیص نفوذ

منبع

KDD99Cup

نظارت شده

شبکه بیزی و ژنتیک

مبتنی بر ناهنجاری

[14]

NSL-KDD

نیمه­نظارتی

فازی

مبتنی بر امضا

[15]

KDDCUP

بدون نظارت

PCA

مبتنی بر امضا

[16]

KDD99Cup

ژنتیک

فازی

مبتنی بر ناهنجاری

[17]

KDD99Cup

نظارت­ شده

شبکه عصبی و خوشه بندی فازی

مبتنی بر امضا

[18]

KDD

بدون نظارت

دسته بندی چندگانه‌ی نایو بیزی

مبتنی بر امضا

[19]

NSL-KDD

نظارت­ شده

دسته­بندی ماشین بردار پشتیبان

مبتنی بر ناهنجاری

[20]

KDD99Cup

نظارت­ شده

ماشین بردار پشتیبان و کلونی مورچه

مبتنی بر ناهنجاری

[21]

3-       روش پیشنهادی

در این بخش جزئیات مربوط به روش ترکیبی پیشنهادی ارائه می­شود. جهت بکارگیری راهکار ارائه شده، در شبکه­ها از مدل پیشنهادی در شکل 1 استفاده می­شود. در ادامه به بیان جزئیات هر بخش پرداخته می­شود. در روش ارائه شده، قبل از اعمال داده­ها به مدل پیشنهادی ابتدا فرایند پیش­پردازش داده­ها به منظور نرمال­سازی آنها انجام می­گیرد. این بخش شامل مراحل زیر می­باشد:

·       همگن­سازی داده­ها (داده­های آموزش و آزمون): در این بخش از طریق جایگذاری نویسه­های حرفی مجموعه داده با مقادیر عددی یک نوع همگن­سازی در سطح داده­ها انجام می­گیرد.

·       هنجارسازی داده­ها (داده­های آموزش و آزمون):  در این بخش عدم توازن بین داده­ها از بین می­رود. با توجه به آنکه از مجموعه داده KDDcup99 استفاده می­شود [2]. بعضی از ویژگی­ها دارای مقادیر عددی بزرگ هستند که می­توانند بر دیگر ویژگی­ها چیره شوند. در این بخش این دسته از ناهنجاری­ها حذف می­شود.

در ماژول بعدی عملیات مربوط به الگوریتم باکتری انجام می­گیرد و از طریق بهره­گیری از آن، ویژگی­های مهم داده­ها استخراج می­شود تا در نتیجه بتوان عملکرد کلی راهکار و همچنین کارایی کلی راهکار را افزایش یابد زیرا کاهش ویژگی در نهایت می­تواند باعث افزایش کارایی شود. در روش‌هایی که فاقد این قابلیت هستند، الگوریتم یادگیری مجبور به استفاده از ویژگی­هایی است که ارتباط خاصی با نفوذ ندارند و بعبارتی در تعیین حمله نقشی ندارند. این نوع از یادگیری در واقع یادگیری با داده­های پرت خواهد بود و تاثیر منفی بر روی راهکار تشخیص نفوذ می­گذارد. در شکل 1 نمایی از دو حالت بکارگیری فرایند استخراج ویژگی و عدم استفاده از آن نشان داده شده است.

img0 

شکل (1): تفاوت حالت­های مختلف یادگیری

 

همانطور که در شکل 1 نشان داده شده است، در فرایند یادگیری راهکار پیشنهادی، بخش مربوط به طبقه‌بندی بجای استفاده از کلیه داده‌ها، فقط از ویژگی‌های مهمی که توسط الگوریتم غذایابی باکتری ارائه شده است، استفاده می‌کند. این اقدام منجر به افزایش دقت در فرآیند یادگیری می‌شود. از سوی دیگر، حذف ویژگی‌هایی که نقش مهمی در طبقه‌بندی ندارند، تشخیص نفوذ و سرعت یادگیری را نیز افزایش می‌دهد [3]. در این روش، حذف داده‌های زائد بدون از دست دادن داده‌ها و ویژگی‌های مهم پایگاه داده انجام می‌گیرد. این کاهش داده‌ها، مجموعه‌ای از قواعد تلخیص شده و معنی‌دار را ایجاد می‌کند، که تصمیم‌گیری و یادگیری را بهتر و آسانتر می‌کند. به عبارت دیگر، الگوریتم غذایابی باکتری با کاهش اندازه داده‌ها و انتخاب ویژگی‌های مهم، یک نگاشت از فضای داده‌های خام به فضای مفاهیم ایجاد می‌کند. این رویکرد به این معناست که حمله به تعدادی از مهم‌ترین ویژگی‌های حملات تقسیم می‌شود و باعث افزایش کارایی و دقت تشخیص نفوذ می‌گردد. همچنین، در شکل 2، شمای کلی هر یک از بخش‌های راهکار پیشنهادی نمایش داده شده است.

 

img0 

شکل (2): مدل پیشنهادی

 

در ادامه جزئیات مربوط به نحوه بکارگیری الگوریتم­های مورد استفاده در این پژوهش تشریح شده است.

3-1-       الگوریتم باکتری

الگوریتم بهینه‌سازی تجمعی غذایابی باکتری‌ها (BFO) یکی از جدیدترین الگوریتم‌های بهینه‌سازی ایده گرفته شده از طبیعت است. ایده اولیه غذایابی باکتری بر این واقعیت استوار است که در طبیعت، جانداران با روش غذایابی ضعیف احتمال انقراض بیشتری نسبت به جاندارنی با استراتژی غذایابی موفق دارند. پس از نسل های زیاد؛ جاندارن با روش غذایابی ضعیف نابود شده و یا به حالت های بهتر تغییر شکل می­دهند [4, 22].

 ایده اصلی در طراحی این الگوریتم استفاده از استراتژی غذایابی باکتری ای کویل در بهینه‌سازی چند توابع با چند بهینه بوده است. غذایابی مساله به دو بخش تقسیم می‌شود. بر این اساس در ابتدا مهاجم(غذایابنده) بایستی منبع غذا را یافته و سپس آنرا تعقیب کرده و به گروه حمله می‌کند. اهمیت بخش‌های مختلف این روند به رابطه مهاجم و دسته، بستگی دارد. بعضی دسته‌ها بزرگ هستند پس مهاجم نیاز به انرژی بیشتری برای شکار دارند اما در عوض به سادگی پیدا می‌شوند. در این تحقیق از روش غذایابی گروهی در فرایند غذایابی استفاده شده است. غذایابی گروهی نسبت به غذایابی تکی دارای مزایایی است. در غذایابی گروهی وجود راه ارتباطی میان افراد ضروری است. مزایای غذایابی گروهی در زیر بیان می­شود:

·       عوامل بیشتری به جستجوی غذا هستند پس احتمال یافتن غذا افزایش می‌یابد. وقتی عاملی غذا می‌یابد، می‌تواند گروه را از محل این قضا آگاهی دهد. پیوستن به گروه در این حالت می‌تواند دسترسی به مرکز اطلاعاتی را تامین کرده و به بقای فرد کمک کند.

·       امکان بیشتر برای برآمدن از پس گروه‌های بزرگتر غذایی.

·       حفاظت در قبال مهاجمان ناخواسته می‌تواند توسط گروه تامین شود.

گاهی مناسب است گروه به عنوان مکانی برای بروز هوش تجمعی درنظر گرفته شود. این هوش تجمعی منجر به غذایابی بهتر برای هریک از اعضای گروه می‌شود زیرا دست آوردها نزاع‌های درون گروهی بر سر غذا را پوشش می‌دهد زیرا در گروه غذای بیشتری نسبت به حالتی که همکاری وجود ندارد بدست می‌آید. در هنگام غذایابی باکتری، حرکت توسط مجموعه از فلاژل‌ها با قابلیت کشش انجام می‌شود. فلاژل‌های این امکان را برای باکتری ای کویل فراهم می‌آورد که چرخیده یا شنا کند. این دو عمل در زمان غذایابی انجام می‌شود. وقتی فالاژل‌های به سمت عقربه‌های ساعت می‌گردند باعث چرخش سلول می‌شود. چرخش‌ در محیط‌های سمی (عدم وجود غذا) و یا هنگامی که غذا یافت شده است به چشم می‌خورد کمتر است. با چرخش فلاژل‌ها عکس عقربه‌های ساعت، باکتری باسرعت قابل توجهی شنا می‌کند. با توجه به این اعمال باکتری علاقمند به یافتن غذای افزاینده و فرار از محیط‌های سمی است. به طور کلی باکتری در محیط‌های دوستانه طولانی تر عمل می‌کند [5, 23, 24]. 

در هنگامی که غذای کافی وجود داشته باشد، طول این باکتری افزایش یافته و در دمای مناسب به دو کپی خود تبدیل می‌شود. این عمل باعث بوجود آمدن عمل تولید مجدد در الگوریتم می­گردد. با توجه به وقوع تغییرات ناگهانی محیطی و یا حمله، پیشرفت چموماتیک ممکن است از بین رفته و یا اینکه گروهی از باکتری‌های به نقطه دیگری منتقل شوند. این اتفاق از بین رفتن و یا پخش شدن در باکتری واقعی اتفاق می‌افتد.

به صورت خلاصه می­توان گفت جستجوگرهای ما برای داده­های مخرب دارای رفتار‌های زیر می‌باشند:

 رفتار حرکتی باکتری‌ها: که از آن به­عنوان دوره حیات باکتری­ها یاد می­شود. این رفتار شامل Nc تکرار (طول دوره حیات) بوده و در آن باکتری‌ها گام‌هایی برای جست و جوی مواد مغزی بر می‌دارند. اگر در حرکت اول که بصورت تصادفی انجام می­شود تابع هزینه کمتر شده باشد، Ns گام دیگر می­توان در همان جهت جلو رفت به شرط آنکه در هر گام کاهش هزینه داشته باشیم. برای حرکت باکتری‌ها از رابطه (1) استفاده می‌شود:

 

 

(1)

θ­i(j+1,k,l) = θ­i(j,k,l) + C(i)dlt(i)/( dlt(i)T dlt(i))0.5

 

که در آن θ­i(j+1,k,l)  موقعیت باکتری i در مرحله j+1 از رفتار حرکتی باکتری‌ها و kامین مرحله تولید مثل و  یک امین مرحله حذف و پراکندگی است. (i)C گام حرکت و (dlt(i یک بردار تصادفی D بعدی در بازه برای تعیین جهت است. باکتری‌ها در شرایط خاصی ماده‌ای جاذب از خود ترشح می­کنند که موجب جذب باکتری‌های دیگر به سمت یک ناحیه خاص می‌گردد. بر اساس این ارتباط در رابطه به­روزرسانی تابع هزینه هر باکتری پس از حرکت آن طبق رابطه (2) باید مقدار  Jcc(θ, θi(j,k,l))  نیز به آن افزوده میشود که نماینده‌ای از میزان نیروهای جاذب و دافع بین باکتری‌ها در جمعیت است. (θ یک بردار در فضای D بعدی است.)

 

(2)

J(i,j,k,l) = J(i,j,k,l) + Jcc(θ, θi(j,k,l))

پس از آنکه دوره حیات باکتری‌ها برای حرکت به پایان رسید میزان سلامت باکتری‌ها که متناسب با میزان مواد مغذی جمع‌آوری شده در طول دوره حیات است بر اساس رابطه (3) برای همه باکتری‌ها محاسبه میگردد. سپس تعدادی از باکتری‌ها با بیشترین مجموع تابع هزینه می‌میرند (حذف می شوند) و به همان تعداد از بهترین باکتری‌ها تکثیر می­شوند. (به دو باکتری تبدیل می­شوند.)

 

(3)

Jihealth = ∑ J(i,j,k,l)

 

در ازدحام واقعی باکتری­ها اثر تغییرات محیطی مثل افزایش دما ممکن است خیلی از باکتری‌ها از بین بروند یا به نواحی دیگری بروند. با الهام از این رفتار  بعد از تعداد تکرار خاصی  از مرحله تولید مثل هریک از باکتری‌ها حذف شده و به مکان دیگری پرتاب می­گردند (تبدیل به یک باکتری دیگر می­شود.). فلوچارت این الگوریتم را در شکل 3 می­بینید:

 

img0 

شکل (3): فلوچارت الگوریتم سیستم باکتری

3-1-1-        بهبود الگوریتم

الگوریتم جستجوی غذای باکتری، همچون سایر الگوریتم‌های مبتنی بر هوش جمعی، از ذرات مصنوعی به عنوان باکتری‌ها بهره می‌برد. در تمام این دسته از الگوریتم‌ها، ذرات مصنوعی مسئول جستجو در فضای مسئله هستند. در شرایط عادی، جستجو توسط این ذرات به صورت ترتیبی انجام می‌گیرد. زیرا هر باکتری، پردازنده را تا زمان اتمام پردازش مربوطه در اختیار می‌گیرد. در نتیجه در صورت امکانِ پردازش موازی، می‌توان چندین باکتری مصنوعی را به صورت همزمان و موازی اجرا کرد. در واقع، این ماهیت پردازش موازی الگوریتم‌های مبتنی بر هوش جمعی است که در محیط چندپردازنده، اجرای همزمان آنها ممکن است. الگوریتم جستجوی غذای باکتری نیز با توجه به وجود باکتری‌ها به عنوان ذرات مصنوعی، می‌تواند در یک محیط چندپردازنده و بصورت موازی اجرا شود. با ارایه یک الگوریتم کارا و توجه به محدودیت‌های موجود، می‌توان بهبود کارایی و سرعت الگوریتم را از طریق اجرای موازی تا چندین برابر افزایش داد. در ارائه الگوریتم موازی غذایابی باکتری، از معماری CUDA بهره گرفته شده است. معماری CUDA امکانات مناسبی را برای برنامه‌نویسان موازی در اختیار قرار می‌دهد و در طراحی الگوریتم موازی غذایابی باکتری، از این امکانات بهره‌مند شده‌ایم. به این منظور، به هر یک از باکتری‌ها یک نخ پردازشی اختصاص داده شده است. نخ‌های موجود در برنامه‌های CUDA در قالب بلاک‌ها دسته‌بندی می‌شوند. این دسته‌بندی این امکان را فراهم می‌کند که نخ‌های موجود در یک بلاک با سرعت بیشتری اطلاعات را با یکدیگر تبادل کنند، و الگوریتم موازی غذایابی باکتری نیز از این امکان بهره‌مند شده است. اجرای الگوریتم از طریق بلاک باعث می‌شود که در فرایند پردازش الگوریتم، بجای بهره‌گیری از حافظه سراسری، از حافظه اشتراکی هر بلاک استفاده شود. با توجه به ماهیت موازی الگوریتم غذایابی باکتری و وجود امکانات سخت‌افزاری و نرم‌افزاری در معماری CUDA، تغییراتی در ساختار الگوریتم غذایابی باکتری ایجاد کرده‌ایم که اجرای الگوریتم موازی غذایابی باکتری را به صورت موازی و در معماری CUDA فراهم آورده است. در ادامه مهمترین این تغییرات بیان شده است.

·       مقداردهی اولیه بصورت موازی: در مرحله مقداردهی اولیه الگوریتم موازی غذایابی باکتری، کلیۀ باکتری‌ها به صورت همزمان و موازی مقداردهی اولیه می‌شوند. این عملیات با استفاده از تولید اعداد تصادفی در داخل پردازنده گرافیکی انجام می‌شود و موقعیت و پخش باکتری‌ها در فضای تعریف‌شده مسئله همزمان انجام می‌پذیرد.

·       محاسبه تابع برازش بصورت موازی: یکی از محاسبات پیچیده در الگوریتم موازی غذایابی باکتری، محاسبه تابع برازش است. در این الگوریتم، این عملیات بصورت همزمان و موازی برای همه باکتری‌ها از طریق بکارگیری حافظه اشتراکی و توابع ریاضی تعریف‌شده در معماری CUDA انجام می‌شود.

·       

parallel_bitonic_sort (array, direction):

For x in range (0 to direction-1)

  For y in range (x to 0)

        If (array[x+1] ≠ array[y]

        bitonic_compare max(y)

        Else

        bitonic_compare min(y)

End If

 

اجرای فرایند مرتب‌سازی بصورت موازی: در الگوریتم غذایابی باکتری، مرتب‌سازی بر اساس شاخص سلامت باکتری و استفاده از روش‌های ترتیبی صورت می‌گیرد. در راهکار پیشنهادی، از الگوریتم موازی مرتب‌سازی بایتونیک بهره گرفته شده است. این روش از دو فاز اصلی تشکیل گردیده است؛ در مرحلۀ اول توالی اعداد به یک دنبالۀ بایتونیک تبدیل می‌شود، سپس این دنباله مرتب می‌گردد. در این حالت از تعداد هسته‌های بالای پردازنده گرافیکی می‌توان برای انجام موازی این مرتب‌سازی استفاده کرد. در اینجا، شبه کد مرتب‌سازی بایتونیک در الگوریتم 1 آمده است. در این شبه‌کد Array آرایه ورودی اعداد برای مرتب‌سازی می‌باشد، که تعداد اعداد برابر با n فرض شده است و n برابر با^d 2 است که d اندازه توان عدد 2 است.

الگوریتم (1):  شبه کد مرتب‌سازی موازی بایتونیک

3-2-       الگوریتم ماشین بردار پشتیبان (SVM)

الگوریتم   SVMیک روش آماری غیر پارامتریک نظارت شده است و بر اساس این فرض عمل می‌کند که هیچ‌گونه اطلاعی از چگونگی توزیع مجموعه داده­ها وجود نداشته باشد. ویژگی اصلی این روش توانایی بالا در استفاده از نمونه­های تعلیمی کمتر و رسیدن به‌دقت بالاتر در مقایسه با سایر روش‌های طبقه­بندی است. در شکل 4 دو کلاس و بردارهای پشتیبان مربوط به آن‌ها نشان داده‌شده است. فرض می­شود داده­ها از دو کلاس تشکیل‌شده و کلاس‌ها درمجموع دارایxi  (i=1,…,L) نقطه آموزشی باشند که  xiیک بردار است. این دو کلاس با  yi = ±1برچسب زده می‌شوند. با توجه به آنکه قصد داریم داده­ها را به دو دسته داده­ای تمیز و آلوده تقسیم نماییم در نتیجه این دو کلاس کاملاً جدا ازهم درنظر گرفته می­شوند و برای محاسبه مرز تصمیم‌گیری دو کلاس کاملاً جدا، از روش حاشیه بهینه استفاده می‌شود [6]. در این روش مرز خطی بین دو کلاس به‌گونه‌ای محاسبه می‌شود که:

·       تمام نمونه‌های کلاس +1 در یک‌طرف مرز و تمام نمونه‌های کلاس -1 در طرف دیگر مرز واقع شوند.

·       مرز تصمیم‌گیری به‌گونه‌ای باشد که فاصله نزدیک‌ترین نمونه‌های آموزشی هر دو کلاس از یکدیگر در راستای عمود بر مرز تصمیم‌گیری تا جایی که ممکن است حداکثر شود.

 

img0 

شکل (4): مرز خطی بهینه برای حالتی که دو کلاس کاملاً از یکدیگر جدا هستند

 

یک مرز تصمیم‌گیری خطی را در حالت کلی می‌توان به‌صورت (4) نوشت:

(4)

w.x+b = 0

 

در رابطه فوق x یک نقطه روی مرز تصمیم­گیری و w یک بردار nبعدی بر مرز تصمیم­گیری است. b نیز فاصله مبدا تا مرز تصمیم­گیری و w. بیانگر ضرب داخلی دو بردار w و x است. از آنجاکه با ضرب یک ثابت در دو طرف رابطه فوق بازهم تساوی برقرار خواهد بود، برای تعریف یکتای مقدار b و w شرایط معادلات زیر بر روی آنها اعمال می شود.

(5)

اگر xi یک بردار پشتیبان باشد

yi(w.X1 + b) =1

(6)

اگر xi یک بردار پشتیبان نباشد

yi(w.X1 + b) >1

 

اولین مرحله برای محاسبه مرز تصمیم­گیری بهینه، پیدا کردن نزدیک‌ترین نمونه­های آموزشی دو کلاس است. در مرحله بعد فاصله آن نقاط از هم در راستای عمود بر مرزهایی که دو کلاس را به طور کامل جدا می­کنند، محاسبه می­شود. مرز تصمیم­گیری بهینه، مرزی است که حداکثر حاشیه را داشته باشد. در واقع روش­هائی مانند  SVM، سعی دارند که با ساختن یک ابرسطح ( که عبارت است از یک معادله خطی)، داده‌ها را از هم تفکیک کنند. روش طبقه­بندی ماشین بردار پشتیبان که یکی از روش‌های طبقهبندی خطی است، بهترین ابرسطحی را پیدا میکند که با حداکثر فاصله، داده‌های مربوط به دو طبقه را از هم تفکیک کند.

3-2-1-       نحوه تشکیل ابرسطح جداکننده

 ابرسطحی را پیدا می­کند که با حداکثر فاصله، داده‌های مربوط به دو طبقه را از هم تفکیک کند. در این بخش می‌خواهیم نحوه ساخت ابرسطح جداکننده را بر روی یک مثال با جزئیات شرح دهیم. تصویر دقیقی از نحوه تشکیل ابرسطح جداکننده توسط ماشین بردار پشتیبان در شکل 5 نشان داده شده است.

 

img0 

شکل (5): نحوه ساخت ابرسطح جداکننده بین دو طبقه داده در فضای دو بعدی [5]

ابتدا یک پوسته محدب در اطراف نقاط هر کدام از کلاس­ها در نظر بگیرید. در شکل 5 در اطراف نقاط مربوط به کلاس  و نقاط مربوط به کلاس   پوسته محدب رسم شده است. خط خطی است که نزدیکترین فاصله بین دو پوسته محدب را نشان می­دهد.   که در واقع همان ابرسطح جداکننده است، خطی است که  را از وسط نصف کرده و بر آن عمود است. b عرض از مبدا برای ابرسطح با حداکثر مرز جداکننده است. اگر b صرف‌نظر شود، پاسخ تنها ابرسطح‌هایی هستند که از مبدا می‌گذرند. فاصله عمودی ابرسطح تا مبدا با تقسیم قدرمطلق مقدار پارامترb برطول w بدست می‌آید. ایده اصلی این است که یک جداکننده مناسب انتخاب شود. منظور، جداکننده‌ای است که بیشترین فاصله را با نقاط همسایه از هر دو طبقه دارد. این جواب درواقع بیشترین مرز را با نقاط مربوط به دو طبقه مختلف دارد و می‌تواند با دو ابرسطح موازی که حداقل از یکی از نقاط دو طبقه عبور می‌کنند، کران‌دار شود. این بردارها، بردارهای پشتیبان نام دارند. فرمول ریاضی این دو ابرسطح موازی که مرز جداکننده را تشکیل می‌دهند در عبارات زیر نشان داده شده است:

 

 

نکته قابل توجه این است که اگر داده‌های تعلیمی به صورت خطی تفکیک‌پذیر باشند، می‌توان دو ابرسطح مرزی را به گونه‌ای انتخاب کرد که هیچ داده‌ای بین آنها نباشد و سپس فاصله بین این دو ابرسطح موازی را به حداکثر رساند. با به­کارگیری قضایای هندسی، فاصله این دو ابرسطح عبارت است از 2/|w|،  پس باید |w| را به حداقل رساند. همچنین باید از قرار گرفتن نقاط داده در ناحیه درون مرز جلوگیری کرد، برای این کار یک محدودیت ریاضی به تعریف فرمال اضافه می‌شود. برای هر ، با اعمال محدودیت‌های زیر اِطمینان حاصل می‌شود که هیچ نقطه‌ای در مرز قرار نمی‌گیرد:

(9)                 w.x_i  – b ≥ 1 برای داده‌های مربوط به طبقه اول


(10)        w.x_i  – b ≤ -1 برای داده‌های مربوط به طبقه دوم

 

  می‌توان این محدودیت را به صورت رابطه زیر نشان داد:

(7)

 

(8)

 

لذا مسأله بهینه‌سازی بدین شکل تعریف می‌شود: به حداقل رساندن ،  با درنظر گرفتن محدودیت  زیر:

 

(11)      

1 ,  

(12)      

1 , 1≤( i ≤ n≤ c_i (w.x_i  - b

 انجام عملیات یادگیری

در این پژوهش از الگوریتم خودآموزی به­منظور انجام علیات یادگیری استفاده می‌شود. نحوه عملکرد الگوریتم بدین صورت است که:

1.       یک رده‌بندی روی داده‌های برچسب دار ساخته می‌شود.

2.       از این رده برای طبقه بندی داده‌های بدون برچسب استفاده می‌شود.

3.       داده‌ها براساس بیشترین اطمینان برچسب دار می‌شوند.

4.       داده‌ها برچسب دار شده به مجموعه داده‌های آموزشی اضافه و رده‌بندی جدید تولید می‌شوند.

5.       به مرحله 1 برمی‌گردد و تازمانی که هیچ داده‌ای باقی نمانده باشد این روند به صورت تکرار ادامه می‌یابد.

روش خودآموزی از قویترین الگوریتم‌های یادگیری نظارتی و نیمه نظارتی می‌باشد که به طور گسترده استفاده می‌شود. این راهکار بیشتر برای مسائل کشف دانش مختلف در مجموعه مختلفی از داده­ها استفاده می‌شود. این روش، دقت خوبی را حتی زمانی که داده‌های برچسب‌دار کم باشند را ارائه خواهد داد. در واقع کار عمده‌ای که توسط راهکار پیشنهادی انجام گرفته است، ایجاد حداقل مقدار مجموع فواصل درون خوشه‌ای بوده است. طرح همراه با جزئیات مدل پیشنهادی در شکل 6 نشان داده شده است. در اینجا با بهره‌گیری از الگوریتم پیشنهادی، داده‌های مربوط به تشخیص نفوذ، خوشه‌بندی می‌شوند که در مقایسه با روش‌هائی مانند K-Means خوشه‌بندی با دقت بیشتری صورت می‌گیرد. روند اجرای فرایند یادگیری در راهکار پیشنهادی که مبتنی بر تست خودکار می‌باشد به صورت زیر است:

1.       ترکیب داده‌های برچسب­دار و غیر برچسب­دار جهت ورود به مدل پیشنهادی.

2.       الگوریتم به کمک داده‌های برچسب­دار آموزش داده می­شود.

3.       فرایند پیش‌پردازش بر روی داده‌های به منظور همگن­سازی آن‌ها انجام می‌گیرد.

4.       داده‌های برچسب­دار به عنوان ورودی وارد الگوریتم می‌شوند، و عملیات برچسب‌ گذاری به کمک داده‌های برچسب‌دار انجام می‌گیرد.

حال برای اینکه بدانیم مدل ما به واقعیت چقدر نزدیک است از روش‌های تست و ارزیابی استفاده می‌کنیم و دقت مدل پیشنهادی برای داده‌های غیر برچسب دار پیش بینی شده، ارزیابی و تست می‌شوند.

 

img0 

شکل (6): طرح همراه با جزئیات مدل پیشنهادی در فرایند یادگیری

3-2-2-       ارزیابی و کارایی

برای مقایسه، ارزیابی و تجزیه و تحلیل نتایج، ما چهار معیار مهم و تاثیرگذار را برای ارزیابی سیستم‌های تشخیص نفوذ پیشنهادی انتخاب کردیم. همچنین برای ارزیابی مدل از دیتاست KDDcup99 استفاده شده است [25]. که در آن حدود 2.5 میلیون اسکن در بین سالهای 2014 تا 2019 انجام گرفته است و دیتاست به صورت تصادفی از این دیتاست بزرگ تهیه شده است. برای ارزیابی چندین روش مختلف بررسی می­شود که در ادامه آنها را بیان خواهیم کرد.

 

·       نرخ تشخیص: نشان­دهنده نسبت نمونه های نفوذی است که به درستی توسط مدل پیشنهادی شناسایی شده است [26]. میزان تشخیص در فرمول 13 نشان داده شده است.

(13)

 

 

·       نرخ هشدار کاذب: این معیار سطح هشدارهای کاذب را در سیستم زمانی که هیچ حمله ای رخ نمی­دهد نشان می­دهد، اما سیستم هشدار می­دهد که نسبت نمونه­هایی که عادی هستند به عنوان خطای حمله FP شناسایی می­شوند [24]. نرخ هشدار نادرست در فرمول 14 نشان داده شده است.

 

 

دقت: یکی از مهمترین معیارهای ارزیابی است که دقت یک طرح را در تشخیص اتصالات و حمله معمولی توصیف می­کند. نسبت حمله و نمونه­های معمولی که به درستی تشخیص داده شده­اند[22]. دقت در فرمول 15 نشان داده شده است.

 

(14)

 

(15)

 

 

·       زمان آموزش (TT):  زمان آموزش عامل بسیار مهمی در توسعه سیستم­های تشخیص نفوذ است و از این رو عملکرد سیستم­های تشخیص نفوذ شبکه را افزایش می­دهد. زیرا سیستم­های شبکه برای استفاده مداوم طراحی شده­اند و در هر ثانیه تعداد زیادی بسته از شبکه دریافت می­کنند. یک سیستم­های تشخیص نفوذ با قابلیت آموزش و ایجاد یک طبقه­بندی کننده در زمان کوتاه را می­توان یک سیستم­های تشخیص نفوذ شبکه بسیار موثر در نظر گرفت. همچنین این طبقه‌بندی‌کننده باید بسیار مؤثر و کارآمد باشد و سیستم­های تشخیص نفوذ می‌تواند آن طبقه‌بندی را همزمان به‌روزرسانی کند [25].

هدف ما ایجاد ساختاری است که بتواند حملات برنامه ریزی شده را با دقت در کمترین زمان برای آموزش تشخیص دهد. به طور خاص، تمرکز ما بر روی بررسی عملکرد ساختار پیشنهادی بر روی پارامترهای اصلی بود که می‌تواند عملکرد یک سیستمهای تشخیص نفوذ را در شبکه‌های کامپیوتری ارزیابی کند.

3-3-       تجزیه و تحلیل عملکرد روش پیشنهادی

برای انجام نرخ یادگیری و تعداد مراحل زمانی ، ابتدا نرخ یادگیری در هر آزمایش را روی یکی از سه مقدار (0.1، 0.01، 0.001) قرار می­دهیم و سپس مراحل زمانی را از 10 به 120 در مراحل 10 افزایش می­دهیم و در هر مورد چهار به DR نگاه می­کنیم. FAR، زمان آموزش یا Training Time و معیار دیگری به نام Efficiency که نسبت نرخ تشخیص به تعداد هشدارهای های اشتباه است. با استفاده از این معیارها می­توان به راحتی مدل IDS را ارزیابی کرد. هدف داشتن سیستم‌های تشخیص نفوذ DR بالاتر و FAR کمتر و در نهایت بالاترین دقت در کوتاه‌ترین زمان است. با محاسبه بازده ثابت می­شود که با افزایش DR و کاهش FAR بازده افزایش می­یابد و بر این اساس بهره­وری با معادله 17 محاسبه می­شود.

 

(17)

  

 

در این مدل، با توجه به نتایج به‌دست‌آمده در ایزوله‌ها و نمودارها، می‌توان گفت که بهترین نتایج با در نظر گرفتن تمامی معیارهای ارزیابی، با نرخ یادگیری  0.001 به دست می‌آید زیرا مطابق شکل7  و 8 ، با افزایش نرخ یادگیری، میانگین نرخ تشخیص افزایش می­یابد و نرخ هشدار نادرست تا حدودی کاهش می­یابد که منجر به افزایش بازده می­شود. یادگیری دقت مدل نیز افزایش می­یابد. مطابق شکل 9، بیشترین بازده در اندازه گام زمانی 60 و در نرخ یادگیری 0.001 است. همچنین مطابق شکل 7 بیشترین دقت در این مورد اتفاق می­افتد که برابر با 92 درصد است. زمان آموزش این حالت 24.72 می­باشد که مطابق شکل 10 تا 13 کمی بیشتر از دو نرخ یادگیری دیگر است که به دلیل کاهش سرعت تغییرات وزن با کاهش نرخ یادگیری برای افزایش دقت به دست آمده در مدل است.

 

img0 

img0 

شکل (7): مقایسه تغییرات نرخ عملکرد با تغییرات اندازه مرحله زمانی برای سه نرخ یادگیری استفاده شده

شکل (8): مقایسه تغییرات نرخ دقت با تغییرات اندازه گام زمانی برای سه نرخ یادگیری استفاده شده

 

img0 

شکل (9): مقایسه تغییرات زمان آموزش با تغییرات اندازه گام زمانی برای سه نرخ یادگیری استفاده شده

 

 

img0 

img0 

شکل (10): مقایسه میانگین نرخ­های تشخیص در سه نرخ یادگیری

شکل (11): مقایسه میانگین نرخ هشدار نادرست در سه نرخ یادگیری

img0 

img0 

شکل (12): مقایسه میانگین زمان آموزش AVG-TT در سه نرخ یادگیری

شکل (13): مقایسه میانگین دقت سه نرخ یادگیری

3-4-       تحلیل برچسب­ها

در این ارزیابی برچسب­ها را مورد ارزیابی قرار می­دهیم . به این صورت که 4 دسته مختلف از داده­ها را به صورت تصادفی انتخاب می شود. رخدادهای تکراری نمونه ها در ترتیب اسکن اصلی بیانگر چندین اسکن نمونه­های یکسان در نقاط مختلف در زمان می­باشد.

در این مقاله پنج روش مختلف اسکن را برای تقسیم اسکن­ها به زیربازه­های زمانی در نظر گرفتیم که هرکدام حرکت مجزای خود را دارد. همه روشهای اسکن ترتیب داده­ها را اجرا می­کنند و برای ایجاد هر زیربازه زمانی تقسیم­بندی و ترتیب را رعایت می­کنند. به دلیل اینکه هر نمونه می­تواند در جندین بازه زمانی ظاهر شود می­توان گفت که در زمان اجرا و هم در زمان تست یک داده یکسان می­تواند حضور داشته باشد.

در جدول 2 ارزیابی بین مدیریت برچسب داده­های تست و آموزش برای انجام عملیات جستجو قابل مشاهده است. برچسب­های نمونه­های 2 و 3 در هر زمان ثابت هستند. و برچسب­های 1 و 4 و 5 با افزایش دانش داده­ها در حال تغییر می­باشد. استفاده از دانش برچسب­ها می­تواند کارایی روش را بالاتر ببرد. در اینجا داده­های 1 و 4 بسیار آسان­تر در بازه زمانی 3 شناسایی می­شوند و این نشان می­دهد که در بازه زمانی 1و 2 آموزش دیده­اند. این ارزیابی نشان می­دهد که دانش برچسب­ها تا چه اندازه می تواند در کیفیت آموزش داده­ها و نمونه موثر واقع شود. برای مثال نمونه 1 به عنوان داده مخرب در اینجا شناسایی شده است و در بازه زمانی 3 به این شناسایی رسیده است. برای ارزیابی برچسب کردن را در پایان هر بازه زمانی انجام دادیم. داده­های آموزش قبل از داده­های تست پردازش می­شوند و برچسب­های ارزیابی بعد از پایان همه بازه­ها جمع آوری می­شوند.

 

جدول (2): ارزیابی و مدیریت برچسب داده­های تست و آموزش

نمونه

بازه 1

1 2 3

بازه 2

1 3 4

بازه3

1 5 4

برچسب در بازه زمانی 1

- -    +

 

 

برچسب در بازه زمانی 2

- - +

- +    -

 

برچسب در بازه زمانی 3

+     - +

+     +   -

-     -   +

برچسب مربوط به ماه در بازه زمانی 3

+     - +

+     +   +

+     +  +

 

در اینجا از روش Cross- validation برای تقسیم داده­ها به داده­های تست و داده­های آموزش استفاده شده است. زیرا در این روش توزیع داده­ها یکسان می ماند. ما این روش را در مقایسه با روش‌های پیشین قرار می‌دهیم. در شکل 14 مقایسه نوع توزیع داده­ها را با روش­های بیان شده برای مجموعه داده­های A تا E نشان می­دهد. در این شکل خط چین­ها بیانگر بازه­های زمانی می­باشد و خط اول بیانگر ترتیب اسکن اصلی می­باشد. و خطهای بعدی روش­های اسکن به ترتیب روش all scans، روش first scan only، روشweighted first scan، روش sample cross validation و روش پیشنهادی ما روش scan cross validation می­باشد.

روش­های پارتیشن بندی در هر 5 روش برای تست و آموزش متفاوت می­باشد. و مدل پارتیشن بندی برای n بازه زمانی همان مدل برای بازه زمانی n+1 خواهد بود. در روش first scan only هر نمونه دقیقا در یک بازه زمانی اسکن می­شود و برای هر نمونه اولین رخداد باقی می­ماند. در روش weighted first scan اطلاعات نمونه های محلی را نگه می­دارد ولی همه اسکن­ها در اولین بازه زمانی جای می­دهد. در روش cross validation داده­های آموزش و تست با توجه به زمان چیده می­شوند. این روش نسبت به روش­های پیشین مناسب تر می­باشد.

 

img0 

img0 

شکل (14): مقایسه روش‌های پارتیشن­بندی

 

شکل (15): مقایسه بین روش‌های پارتیشن بندی

 

در جدول 3 مقایسه نوع توزیع داده‌ها را با روش‌های بیان شده برای مجموعه داده‌های A تا E  نشان می‌دهد.

 

جدول (3): مقایسه نوع توزیع داده ها

 

scan cross validation

all scans

simple cross validation

first scan

weighted first

scan

1.00E-02

0.9

0.88

0.8

0.75

0.78

1.00E-01

0.94

0.91

0.88

0.91

0.89

1.00E+00

0.98

0.95

0.91

0.97

0.95

10

1

1

1

1

1

 

در شکل 16 کارایی روش پیشنهادی نمایش داده شده است به این صورت که نمودار آبی بیانگر 80 در خواست در روز می­باشد که کارایی روش پیشنهادی را ملاحظه می­کنید.

 

 

شکل (16): کارایی روش پیشنهادی

 

جدول (4): کارایی روش پیشنهادی

FPR

TPR

1.00E-03

0.35

1.00E-02

0.91

1.00E-01

0.95

1.00E+00

0.97

10

1

در جدول 4 کارایی روش پیشنهادی نمایش داده شده است به این صورت که برای 80 در خواست در روز مقادیر FPR, TPR نشان داده شده است که کارایی روش پیشنهادی را ملاحظه می­کنید.

در این روش جستجو را طوری در نظر گرفتیم که به صورت آنلاین باشد یعنی بتواند تجربیات خود را بروز کند. تجربیاتی که از نمونه­ها و مثالهای داده­های مخرب بدست آورده است و آن تجربیات را در جستجوهای بعدی بتواند استفاده کند. و همچنین گرفتن تجربه از بیرون به این معنی که بتواند در هر بار از تجربیات مرور کاربران استفاده نماید و داده های مخرب جدیدی که به آن معرفی می­گردد را به دیتابیس ویژگیهای خود اضافه کند. علاوه بر آن از تجربیات درونی خود نیز که پس از هر بار اجرا بدست می آید استفاده کند. در شکل 17روشهای مختلف را مورد بررسی و مقایسه قرار دادیم . روش پیشنهادی را با روش اول یعنی روشی که از تجربیات عوامل خارجی و عوامل داخلی بدون در نظر گرفتن داده­های مخرب و روش دوم یعنی روشهایی که فقط از کاربران داده های مخرب را شناسایی می­کنند و روش سوم روشی که از هیچ کدام از این جستجوها استفاده نمی­کند و صرفا بر اساس همان ماتریس ویژگی اولیه عملیات جستجو را انجام می­دهد مورد مقایسه قرار می­دهیم. نتایج نشان می دهد که روش پیشنهادی روش قابل قبولی نسبت به روشهای پیشین می­باشد. شکل17 مقایسه بین روش پیشنهادی و روش‌های پیشین نشان داده شده است. همانطور که نمودار نشان می­دهد روش پیشنهادی نسبت به روش‌های پیشین نتایج بهتری داشته است.

 

 

شکل (17): مقایسه روشها

جدول 5 مقایسه بین روش پیشنهادی و روشهای پیشین نشان داده شده است. همانطور که جدول نشان می­دهد روش پیشنهادی نسبت به روش­های پیشین نتایج بهتری داشته است.

جدول (5): مقایسه بین روشها

FPR=0.01

FPR=0.001

روش­ها

0.97

0.95

روش پیشنهادی

0.89

0.89

روش 1

0.85

0.79

روش 2

0.8

0.71

روش 3

3-5-       ارزیابی کمی

در این بخش راهکار پیشنهادی با توجه به پارامترهای دقت، حساسیت و F1 در مقایسه با راهکارهای NBFS، NBTree و C4.5 [27] مورد مقایسه و ارزیابی قرار گرفته است. فرمول این توابع در روابط 18 تا 20 آمده است.

ابتدا و در شکل 18 راهکارها با توجه به نرخ حساسیت بررسی و مقایسه شدهاند. از این پارامتر به منظور بررسی اینکه تا چه میزان روش پیشنهادی، داده‌هایی که در کلاس موردنظر نبوده‌اند را به‌عنوان داده‌های درون کلاس دسته‌بندی کرده است. همانطورکه ملاحظه می­شود راهکار ارائه شده از سه راهکار NBFS، C4.5 و NBTree بهتر عمل کرده است. این میزان از بهینگی در درست تشخیص داده شدن نفوذ، در بهره­گیری از روش­ ترکیبی پیشنهادی می­باشد که در واقع از طریق استفاده از الگوریتم باکتری توانسته­ایم تا حد زیادی ویژگی­هائی که جهت تشخیص نفوذ لازم نیست حذف نموده و در نتیجه دقت دسته‌بند در تشخیص موارد مثبت بخوبی بالا رفته است.

 

شکل (18): مقایسه پارامتر حساسیت در بین راهکارهای مورد ارزیابی

در ادامه و در شکل 19 راهکارها با توجه به معیار F1 مورد ارزیابی قرار گرفته‌اند. از طریق این پارامتر می­توان بررسی کرد که تا چه میزان روش­های پیشنهادی، داده‌هایی که در کلاس موردنظر بوده‌اند را درست دسته‌بندی کردهاند. همانطورکه ملاحظه می­شود در این حالت نیز راهکار ارائه شده بخوبی توانسته داده­ها را در کلاس­های صحیح دسته­بندی کند. بطوریکه به میزان دقت 98% رسیده است. دلیل اصلی این میزان از کارایی در بهره­گیری از الگوریتم BFO می­باشد که بخوبی توانسته است از طریق انتخاب مجموعه ویژگی‌های مناسب برای الگوریتم SVM این امکان را فراهم کرده است که بهترین یادگیری از طریق ویژگی‌های اصلی، جهت تشخیص نفوذ انجام گیرد. در انتها و در شکل 20 پارامتر نرخ صحت ارزیابی­ها نشان داده شده است.

 

شکل (19): مقایسه پارامتر اختصاصی بودن در بین راهکارهای مورد ارزیابی

همانطورکه در شکل 20 ملاحظه می­شود در این ارزیابی نیز راهکار پیشنهادی به نسبت سه راهکار دیگر بهتر عمل کرده است. با مقایسه این پارامترها می­توان این نتیجه را گرفت که از طریق بهره­گیری از راهکار ترکیبی پیشنهادی توانسته­ایم بخوبی پارامترهای اصلی جهت تشخیص نفوذ در شبکه را بهینه نماییم بطوریکه با حداکثر دقت بتوان عملیات تشخیص نفوذ را به کمک الگوریتم ماشین­بردار پشتیبان که توسط الگوریتم BFO بهینه شده است انجام داد. در کنار آن بهره­گیری از دسته بندی مبتنی بر الگوریتم ماشین بردار پشتیبان نیز تأثیر بسزایی بر روی دقت و صحت عملیات داشته است زیرا خروجی مراحل قبلی بعنوان ورودی به الگوریتم ماشین بردار پشتیبان داده می­شود تا به کمک آن بتوان نفوذهای تشخیص داده­ شده را در کلاس­های مشخصی قرار داد و در نتیجه بر اساس آنها سیستم تشخیص نفوذ بتواند تصمیم­گیری لازم را بگیرد. اگر در این مرحله، دسته­بندی­ها دقیق نباشد میزان کارایی راهکار نیز پایین خواهد آمد. در واقع همانطورکه در شکل 20 نیز مشخص است راهکار پیشنهادی توانسته است به نرخ دقت بالای 97 درصد برسد که در مقابل نرخ صحت 82 و 86 درصد راهکارهایی مانند NBTree و C4.5 دیگر بسیار بالاتر می­باشد.

 

شکل (20): مقایسه نرخ دقت در بین راهکارهای مورد ارزیابی

3-6-       ارزیابی زمان اجرا

در این بخش زمان اجرای راهکار پیشنهادی در مقایسه با سایر راهکارها مورد ارزیابی قرار می­گیرد. برای این منظور الگوریتم‌های زیر جهت مقایسه با روش پیشنهادی، انتخاب شده­اند:

·       ماشین بردار پشتیبان (SVM10)

·       الگوریتم بیز ساده  (Naive Bayes)

·       الگوریتم مبتنی بر درخت (GB11)

·       الگوریتم ژنتیک موازی‌سازی شده (PGA)

در ادامه و در شکل 21 نتایج حاصل از ارزیابی نشان داده شده است. لازم به ذکر است در فرایند ارزیابی از دیتاست KDDcup99 استفاده شده است.

 

 

شکل (21): مقایسه زمان اجرای راهکارها

همانطورکه در شکل 20 ملاحظه می­شود، زمان اجرای روش پیشنهادی بسیار کمتر از چهار راهکار دیگر می­باشد، بطوریکه در مقایسه با الگوریتم‌ها Navie Bayes،  SVM و GBTree زمان اجرا کاهش چشم‌گیری داشته است. هر چند با توجه به آنکه در الگوریتم PGA نیز از موازی‌سازی‌شده استفاده شده است این میزان بهینگی کمتر است اما با توجه به آنکه PGA فاقد استخراج‌کننده ویژگیِ کارا می‌باشد در نتیجه به دلیل آنکه فرایند یادگیری هم بر روی داده‌های پرت و هم داده‌های اصلی صورت می‌گیرد، بر همین اساس زمان اجرای آن به نسبت راهکار پیشنهادی بالاتر رفته است. دلیل این میزان از بهینگی در راهکار پیشنهادی بکارگیری و اجرای الگوریتم غذایابی باکتری بصورت موازی است. در واقع در این مرحله با توجه به آنکه فرایند مربوط به مقداردهی اولی، توزیع باکتری‌ها و همچنین مرتب سازی آنها بصورت موازی انجام می‌گیرد، در نتیجه زمان اجرای الگوریتم به شدت پایین می‌اید. همین عمل باعث می‌شود که کارایی الگوریتم با توجه به زمان اجرا بالاتر رود که در نمودار نیز بخوبی مشخص است. از این طریق استخراج ویژگی‌ها از داده‌های حجیم در زمان کمتری صورت می‌گیرد و در نتیجه بکارگیری الگوریتم در داده‌های حجیم را بسیار بهینه می‌کند و استخراج ویژگی‌های اصلی در مدت زمان کمتری صورت می‌گیرد که همین امر نیز باعث افزایش کارایی و دقت الگوریتم می‌شود. زیرا کاهش ویژگی در نهایت می­تواند باعث افزایش کارایی دسته‌بند نیز شود. در روشهایی که فاقد این قابلیت هستند، الگوریتم یادگیری مجبور به استفاده از ویژگی­هایی است که ارتباط خاصی با نفوذ ندارند و بعبارتی در تعیین حمله نقشی ندارند. این نوع از یادگیری در واقع یادگیری با داده­های پرت خواهد بود و تاثیر منفی بر روی راهکار تشخیص نفوذ می­گذارد. همانطورکه در نتایج حاصل از ارزیابی نیز ملاحظه می­شود روش­های دیگر از جمله SVM، به تنهایی کارایی چندان مناسبی نخواهند داشت و در نتیجه زمان اجرای به نسبت بالاتری دارند.

4-       نتیجه ­گیری

در این مقاله، برای تشخیص داده­های مخرب یک راهکار تشخیص نفوذ ترکیبی با استفاده از الگوریتم غذایابی باکتری (BFO) و الگوریتم ماشین بردار پشتیبان (SVM) ارائه شده است. در واقع از این راهکار ترکیبی در جهت ارتقاء دقت تشخیص نفوذ در شبکه بهره برده شده است. با بهره‌گیری از این راهکار، ویژگی‌های مهم داده‌ها استخراج شده و از آن برای بهبود عملکرد کلی راهکار و طبقه‌بندی استفاده می‌شود. به کمک این رویکرد، کاهش ویژگی می‌تواند منجر به افزایش کارایی و دقت شود. در ادامه این بخش، جزئیات این روش تشریح شده است.

 در چارچوب پیشنهادی زمان و برچسب­ها و مقیاس­پذیری همچنین مرور کاربران لحاظ گردید و نتایج نشان داد که توضیح قابل قبولی در مقایسه با روش­های پیشین می­تواند داشته باشد. این طراحی معماری چارچوب بر مبنای خط لوله انجام شده است و دارای دو خط لوله می­باشد که پردازش را به صورت موازی انجام می­دهد و همین امر باعث افزایش سرعت روش پیشنهادی می­باشد.

این برنامه توسط نرم افزار آپاچی اسپارک، یک چارچوب محاسباتی و نرم افزار متلب انجام شده است. همچنین از یک اینترفیس مجازی وب برای مشاهده نتایج استفاده شده است. این روش را برای آشکارسازی داده­های مخرب استفاده شده است و دیتاست استفاده شده حاوی داده­های 30 ماه در سایت virus total  می­باشد که آنالیز استاتیکی و دینامیکی ویروسها را انجام می­دهد و ما در هر لحظه تغییرات برچسب­ها را اندازه می­گرفتیم و به محض تبدیل شدن به داده­های مخرب آنها را آشکار می­ساختیم.

جهت ادامه کار به عنوان تحقیقات آینده می­توان موارد زیر را پیشنهاد داد:

·       توسعه و بهینه‌سازی الگوریتم‌ها و مدل‌ها برای افزایش دقت تشخیص نفوذ.

·       امکان اضافه کردن ویژگی‌ها و پارامترهای جدید به مدل به منظور بهبود عملکرد.

·       انجام تحقیقات بیشتر در زمینه بهبود روش‌های بهینه‌سازی برای کاهش زمان آموزش مدل و افزایش سرعت تشخیص.

·       استفاده از تکنولوژی‌های نوین مانند یادگیری عمیق (Deep Learning) و شبکه‌های عصبی برای بهبود کارایی تشخیص نفوذ.

 

مراجع

[1]        T. Miyato, S.-i. Maeda, M. Koyama, and S. Ishii, "Virtual adversarial training: a regularization method for supervised and semi-supervised learning," IEEE transactions on pattern analysis and machine intelligence, vol. 41, no. 8, pp. 1979-1993, 2018. doi10.1109/TPAMI.2018.2858821

[2]        R. A. Dara, T. Khan, J. Azim, O. Cicchello, and G. Cort, "A semi-supervised approach to customer relationship management," in Artificial Intelligence and Soft Computing, 2006, pp. 58-64.

[3]        A. Dutt, S. Aghabozrgi, M. A. B. Ismail, and H. Mahroeian, "Clustering algorithms applied in educational data mining," International Journal of Information and Electronics Engineering, vol. 5, no. 2, p. 112, 2015. doi: 10.7763/IJIEE.2015.V5.513

[4]        C. Guo, H. Tang, B. Niu, and C. B. P. Lee, "A survey of bacterial foraging optimization," Neurocomputing, vol. 452, pp. 728-746, 2021. doi:10.1016/j.neucom.2020.06.142

[5]        H. Chen, Q. Zhang, J. Luo, Y. Xu, and X. Zhang, "An enhanced bacterial foraging optimization and its application for training kernel extreme learning machine," Applied Soft Computing, vol. 86, p. 105884, 2020.  doi: 10.1016/j.asoc.2019.105884.

[6]        D. A. Pisner and D. M. Schnyer, "Support vector machine," in Machine learning: Elsevier, 2020, pp. 101-121. doi: 10.1016/B978-0-12-815739-8.00006-7.

[7]        C. Campbell and Y. Ying, Learning with support vector machines. Springer Nature, 2022. doi:10.1007/978-3-031-01552-6.

[8]        N. A. Seresht, R. Azmi, and B. Pishgoo, "A new clonal selection algorithm based on radius regularization of anomaly detectors," in The 16th CSI International Symposium on Artificial Intelligence and Signal Processing (AISP 2012), 2012: IEEE, pp. 497-502. doi: 10.1109/AISP.2012.6313798. 

[9]        P. Rahul, S. Kedia, Sarangi, and Monika, "Analysis of machine learning models for malware detection," Journal of Discrete Mathematical Sciences and Cryptography, vol. 23, no. 2, pp. 395-407, 2020. doi:10.1080/09720529.2020.1721870.

[10]        K. Asrigo, L. Litty, and D. Lie, "Using VMM-based sensors to monitor honeypots," in Proceedings of the 2nd international conference on Virtual execution environments, 2006, pp. 13-23. doi:10.1145/1134760.1134765.

[11]        I. Bello et al., "Detecting ransomware attacks using intelligent algorithms: Recent development and next direction from deep learning and big data perspectives," Journal of Ambient Intelligence and Humanized Computing, vol. 12, pp. 8699-8717, 2021. doi:10.1007/s12652-020-02630-7.

[12]        P. Kumar, G. P. Gupta, and R. Tripathi, "Toward design of an intelligent cyber attack detection system using hybrid feature reduced approach for iot networks," Arabian Journal for Science and Engineering, vol. 46, pp. 3749-3778, 2021. doi:10.1007/s13369-020-05181-3.

[13]        M. Rabbani, Y. L. Wang, R. Khoshkangini, H. Jelodar, R. Zhao, and P. Hu, "A hybrid machine learning approach for malicious behaviour detection and recognition in cloud computing," Journal of Network and Computer Applications, vol. 151, p. 102507, 2020. doi:10.1016/j.jnca.2019.102507.

[14]        J. O. Onah, M. Abdullahi, I. H. Hassan, and A. Al-Ghusham, "Genetic Algorithm based feature selection and Naïve Bayes for anomaly detection in fog computing environment," Machine Learning with Applications, vol. 6, p. 100156, 2021. doi:10.1016/j.mlwa.2021.100156.

[15]        F. Jemili, "Intelligent intrusion detection based on fuzzy Big Data classification," Cluster Computing, vol. 26, no. 6, pp. 3719-3736, 2023. doi:10.1007/s10586-022-03769-y.

[16]        G. T. Reddy et al., "Analysis of dimensionality reduction techniques on big data," Ieee Access, vol. 8, pp. 54776-54788, 2020. doi:10.1109/ACCESS.2020.2980942.

[17]        Y. Xu, Y. Sun, Z. Ma, H. Zhao, Y. Wang, and N. Lu, "Attribute selection based genetic network programming for intrusion detection system," Journal of Advanced Computational Intelligence and Intelligent Informatics, vol. 26, no. 5, pp. 671-683, 2022. doi:10.20965/jaciii.2022.p0671.

[18]        D. A. Salih, Y. A. Mohamed, and M. Bashir, "Enhancing intrusion detection system performance against low frequent attacks using FC-ANN algorithem," Journal of Engineering Science and Technology, vol. 18, no. 5, pp. 2411-2431, 2023.

[19]        H.-M. Lee and S.-J. Lee, "A Study on Security Event Detection in ESM Using Big Data and Deep Learning," International Journal of Internet, Broadcasting and Communication, vol. 13, no. 3, pp. 42-49, 2021. , doi:10.7236/IJIBC.2021.13.3.42

[20]        M. Naveed et al., "A Deep Learning-Based Framework for Feature Extraction and Classification of Intrusion Detection in Networks," Wireless Communications and Mobile Computing, vol. 2022, 2022. doi:10.1155/2022/2215852.

[21]        A. A. Alqarni, "Toward support-vector machine-based ant colony optimization algorithms for intrusion detection," Soft Computing, vol. 27, no. 10, pp. 6297-6305, 2023. doi:10.1007/s00500-023-07906-6.

[22]        W. Mao, Z. Cai, Y. Yang, X. Shi, and X. Guan, "From big data to knowledge: A spatio-temporal approach to malware detection," Computers & Security, vol. 74, pp. 167-183, 2018. doi:10.1016/j.cose.2017.12.005.

[23]        M. M. Shetty and D. Manjaiah, "Advanced Threat Detection Based on Big Data Technologies," in Cyber Warfare and Terrorism: Concepts, Methodologies, Tools, and Applications: IGI Global, 2020, pp. 808-822. ,doi:10.4018/978-1-5225-3015-2.ch001.

[24]        M. Rabbani et al., "A review on machine learning approaches for network malicious behavior detection in emerging technologies," Entropy, vol. 23, no. 5, p. 529, 2021. doi:10.3390/e23050529.

[25]        C.-H. Liu and W.-H. Chen, "The Study of Using Big Data Analysis to Detecting APT Attack," Journal of Computers, vol. 30, no. 1, pp. 206-222, 2019. doi:10.3966/199115992019023001020.

[26]        G. Xu, W. Su, and Z. He, "An Efficient implementation of Network Malicious Traffic Screening based on Big Data Analytics," in 2021 2nd International Conference on Smart Electronics and Communication (ICOSEC), 2021: IEEE, pp. 1274-1277.doi: 10.1109/ICOSEC51865.2021.9591700

[27]        J. Kevric, S. Jukic, and A. Subasi, "An effective combining classifier approach using tree algorithms for network intrusion detection," Neural Computing and Applications, vol. 28, no. Suppl 1, pp. 1051-1058, 2017. doi:10.1007/s00521-016-2418-1.

 

زیرنویس ها

img0 فناوری‏های نوین مهندسی برق در سیستم انرژی سبز، سال سوم، شماره ۴، زمستان ۱۴۰۳                                           19

[1]  Wrapper

[2]  Genetic Network Programming

[3]  Neural Network

[4]  Hidden Naïve Bayes

[5]  dimensionality

[6]  correlated features

[7]  Naive Bayes

[8]  Support Vector Machine

[9]  Self-Organized Ant Colony Network

[10]  Support Vector Machine

[11]        Gradient Boosting Tree

 (18)

 

 (19)

 

 (20)

 


مقالات مرتبط

حقوق این وب‌سایت متعلق به سامانه مدیریت نشریات دانشگاه آزاد اسلامی است.
حق نشر © 1403-1400

صفحه اصلی| عضویت/ ورود| درباره سند| تماس با ما|
[English] [العربية] [en] [ar]