يك سيستم تشخيص نفوذ چند لايه با رويكرد تركيبي

سيستم هاي تشخيص نفوذ ابزاري مفيد براي تامين امنيت شبكه هاي رايانه اي در مقابل نفوذگر ها هستند. اين سيستم ها از روشهاي تشخيص نفوذ مبتني بر امضاء يا مبتني بر ناهنجاري و يا تركيبي از آنها استفاده مي كنند. در سيستم هاي تشخيص نفوذ مبتني بر امضاء از روش تطبيق داده ها با نمونه هاي موجود يا ايجاد قوانين استفاده مي شود. همچنين در سيستم هاي تشخيص نفوذ مبتني بر ناهنجاري مي توان از خوشه بندي براي شناسايي نفوذهاي ناشناخته و از طبقه بندي براي شناسايي نفوذهاي شناخته شده و تفكيك آنها از فعاليت هاي نرمال استفاده كرد. در اين مقاله سيستم تشخيص نفوذي با سه لايه تشخيص پيشنهاد داده ايم كه از هر دو روش مبتني بر امضاء و مبتني بر ناهنجاري استفاده مي كند. لايه اول با استفاده از قوانين ابتكاري برخي از نفوذها را كه بسيار مشابه نمونه هاي نرمال هستند را تشخيص ميدهد. لايه دوم با استفاده از خوشه بندي نمونه هاي ورودي كه به مركز خوشه ناهنجار نزديكتر از مركز خوشه نرمال است را به عنوان نفوذ تشخيص مي دهد. دو مركز خوشه توسط الگوريتم ژنتيك محاسبه مي شود. لايه سوم نيز با استفاده از يك طبقه بند جنگل تصادفي نفوذها را تشخيص مي دهد. آزمايشهاي انجام شده بر روي مجموعه داده NSL-KDD و مقايسه با نتايج منتشر شده اخيري كه از اين مجموعه داده استفاده كرده اند، موثر بودن سيستم تشخيص نفوذ پيشنهادي را به خوبي نشان مي دهد.