كليدواژه :
امنيت اطلاعات , تشخيص نفوذ , مدل مخفي ماركوف , الگوريتم برنامه ريزي تكاملي , مجموعه داده NSL
چكيده فارسي :
سامانه هاي تشخيص نفوذ، وظيفه شناسايي و تشخيص هر گونه ورود غيرمجاز به سيستم، سوء استفاده و يا آسيب رساني را بر عهده دارند، كه با استفاده از تحليل بسته هاي شبكه، قادر به پيش گيري از حملات سايبري است. در حال حاضر يكي از چالش هاي عمده در استفاده از اين ابزار كمبود الگوهاي آموزشي حملات در بخش موتور تحليل است، كه باعث عدم آموزش كامل موتور تحليل و در نتيجه توليد حجم بالايي از هشدارهاي غلط خواهد شد. از طرفي بالا بودن زمان آموزش سامانه هاي تشخيص نفوذ، موجب تاخير قابل توجهي در بخش آموزش سامانه به همراه خواهد داشت. پژوهش پيش رو نيز تلاشي است براي ارايه يك راه كار تشخيص نفوذ مبتني بر امضا با محوريت مدل مخفي ماركوف تكاملي با نام EHMM كه در راستاي غلبه بر چالش هاي مطرح شده ارايه شده است. مهم ترين بخش مدل مخفي ماركوف، تنظيم مقادير پارامترهاي آن است كه هر چه اين مقادير بهينه تر باشند، مدل مخفي ماركوف با دقت بيشتري قادر به پيش بيني احتمال مقادير بعدي خواهد بود؛ لذا در اين پژوهش سعي شده است بر مبناي تحليل مجموعه داده NSL-KDD با استفاده از الگوريتم برنامه نويسي تكاملي، پارامترهاي بهينه را براي مدل مخفي ماركوف انتخاب كرده و به نوعي آن را تعليم دهيم؛ سپس با بهره گيري از آن، انواع حملات موجود در مجموعه داده را شناسايي كنيم. براي ارزيابي ميزان موفقيت مدل پيشنهادي EHHM در ارتقاي درصد صحت تشخيص نفوذ، سامانه پيشنهادي و همچنين روش قبلي در محيط شبيه سازي MATLAB پياده سازي شده اند. نتايج پژوهش نشان مي دهد، مدل EHMM، درصد تشخيص نفوذ را از متوسط 87% (در استفاده از مدل مخفي ماركوف معمولي) به بيش از 92% (در استفاده از مدل مخفي ماركوف تكاملي) افزايش مي دهد. همچنين پس از آموزش كامل داده آموزشي به هر دو روش مبتني بر مدل ماركوف معمولي و تكاملي، زمان آموزش سامانه مورد نظر براي يك مجموعه داده حدود شامل دويست هزار ركوردي، از متوسط 489 دقيقه در روش معمولي به كم تر از چهارصد دقيقه در روش پيشنهادي كاهش يافته است. حصول اين نتيجه و عملياتي كردن آن در سامانه هاي تشخيص نفوذ، مي تواند موجب ارتقاي توان دفاعي كشور در مقابل هجمه هاي سايبري دشمن شود.
چكيده لاتين :
Intrusion detection systems are responsible for diagnosing and detecting any unauthorized use of the system, exploitation or destruction, which is able to prevent cyber-attacks using the network package analysis. one of the major challenges in the use of these tools is lack of educational patterns of attacks on the part of the engine analysis; engine failure that caused the complete training, the result is in production of high volumes of false warnings. On the other hand, the high level of intrusion detection training time will cause a significant delay in the training system. Therefore, in the analysis section of the intrusion detection system, we need to use an algorithm that shows significant performance with the least educational data, hidden Markov model is one of these successful algorithms in this field. This Research also is trying to provide a misuse based intrusion detection solution with the focus of the evolutionary Hidden Markov model, the EHMM, which is designed to overcome the challenges posed. The most important part of hidden Markov model is to adjust the values of the parameters, the more adjusted values, optimal values would be more effective. The hidden Markov model is more likely to predict the probability of future values. Therefore, it has been trying to end the mail based on the causative analysis of NSL data sets-KDD using evolutionary programming algorithm for hidden Markov model for the optimal parameters and sort of teach it. Then, using it, the types of attacks in the dataset were identified. To evaluate the success rate in improving the accuracy percentage EHMM proposal intrusion detection, MATLAB System simulation environment has been implemented. The results of the investigation show fitted, EHMM plan, the percentage of the average is 87% of intrusion detection (if hidden Markov model is used normal) to over 92% (in the case of the hidden Markov model using evolutionary) increases. Also after training the training data in both methods based on conventional and evolutionary Markov model, the time of the target system for a training data set is approximately two hundred thousand record from low average of 489 minutes to more than 400 minutes has been dropped in the proposed method. This outcome achievement and making it operational on intrusion detection for the native system, can cause a defensive improvement which can be fitted in front of the other country for hostile cyber.
