تشخيص حملات سايبري پيشرفته با استفاده از مدل‌سازي رفتاري مبتني بر پردازش زبان طبيعي

رشته حملات پيچيده و ماندگار نفوذ به شبكه  از مراحل نامحسوس و مخفي متعددي تشكيل ‌شده‌اند. يكي از دلايل ناكارآمدي سامانه هاي تشخيص نفوذ در برابر اين حملات، استفاده از سازوكار دفاعي مبتني بر آناليز ترافيك شبكه‌اي سطح پايين است كه در آن به روابط پنهان بين هشدارها توجه نمي‌شود. فرض ما اين است كه اطلاعات ساختاري پنهان در داده‌هاي ترافيكي وجود دارند و ما مي‌خواهيم در ترافيك شبكه‌اي قواعدي مانند قواعد زبان تعريف كنيم و آن را براي توصيف الگوهاي فعاليت‌هاي شبكه‌اي بدخواهانه به كار بگيريم. به اين وسيله مي توانيم  مسئله كشف الگوهاي سوء استفاده و ناهنجاري را همانند مسئله يادگيري ساختارهاي نحوي و قطعات مفهومي زبان شبكه حل كنيم. در اين مقاله براي مدل‌سازي در مرحله توليد دنباله‌ها براي اولين بار در حوزه سايبري از يك خوشه‌بندي جديد به‌عنوان خوشه‌بندي  MD_DBSCAN كه يكي از انواع بهبوديافته خوشه‌بندي DBSCAN است، استفاده‌ شده است. علاوه بر اين، از يك الگوريتم حريصانه با الهام از القاء گرامر در پردازش زبان طبيعي استفاده‌ شده تا با ادغام فعاليت‌هاي سطح پايين بتوانيم فعاليت‌هاي سطح بالا را كشف كنيم و روابط بين فعاليت‌هاي سطوح مختلف را تعريف كنيم. در  بخشي از الگوريتم پيشنهادي براي كشف فعاليت‌هاي سطح بالا، براي اولين بار معيار شباهت ويرايش در خوشه‌بندي سلسله مراتبي به معيارهاي موجود در الگوريتم پايه اضافه ‌شده است. نتايج نشان مي‌دهد دقت تشخيص در فعاليت‌هاي سطح بالا نسبت به فعاليت‌هاي سطح پايين با توجه به نمودار ROC حدود 30 % بيشتر است. همچنين، با تنظيم بهترين حد آستانه در الگوريتم تشخيص حملات، با درنظرگرفتن معيار F1 ، براي لغات سطوح يك تا سه به ترتيب به نتايج 72.3 و 96.2 و 96.4 در پنجره پيش‌بيني با اندازه سه رسيده‌ايم كه به‌طوركلي حدود 2/. نسبت به الگوريتم پايه بهبود نشان مي‌دهد.