تشخيص ناهنجاري در ترافيك شبكه با استفاده از سامانه توزيع‌شده‌ مبتني بر سيستم‌هاي چندعامله‌ خودسازمانده

Anomaly Detection in Network Traffic using Distributed Self- Organizing Multi Agent Systems

امروزه چالش‌هاي حوزه امنيت اطلاعات و ارتباطات بسيار مورد توجه محققين است. گسترش مرزهاي شبكه، افزايش و پيچيدگي حملات امنيتي شبكه، نياز به وجود سامانه‌هاي هوشمند، خودكار و بي‌درنگ كشف ناهنجاري و تهديدات شبكه را دوچندان نموده است. براي كشف ناهنجاري، لازم است ترافيك شبكه به‌صورت بي‌درنگ مورد پايش قرار گيرد. ناهنجاري شامل تغييرات قابل‌توجه و غيرمعمول رفتار ترافيك شبكه در مقايسه با الگوهاي رفتار نرمال آن است. در اين مقاله به‌منظور كشف ناهنجاري، يك سامانه مبتني بر سيستم‌هاي چندعامله خودسازمانده ارائه‌شده است. سيستم‌هاي چندعامله از عامل‌هايي كه با يكديگر براي رسيدن به هدف مشخصي تعامل دارند تشكيل‌شده‌اند. از اين سيستم‌ها براي حل مسائلي استفاده مي‌شود كه حل آن براي يك عامل و يا به‌صورت يكپارچه مشكل است. معماري سامانه پيشنهادي مقياس‌پذير است و مي‌تواند خود را با تغييرهاي شبكه‌هاي امروزي وفق دهد. ارزيابي و تحليل انجام‌شده روي سامانه پيشنهادي در مجموعه-داده NSL-KDD، نشان مي‌دهد نرخ كشف ناهنجاري در ترافيك شبكه در مقايسه با روش‌هاي مطرح اخير بهبود يافته است. همچنين با پيشنهاد الگوريتم‌هايي براي بهينه كردن انتخاب عامل‌ها و تعيين وزن تصميم به طور هوشمند براي عامل‌ها، علاوه بر افزايش نرخ تشخيص ناهنجاري، زمان تحليل رخدادها نيز كاهش داده شده است.

Challenges in the field of information and communication security are of great interest to researchers. The expansion of network boundaries, the intensification and complexity increase of network security attacks, has amplified the need for intelligent, automated and real-time systems to detect network anomalies and threats. To detect anomalies, network traffic needs to be monitored immediately. The anomaly involves significant and unusual changes in network traffic behavior compared to its normal behavior patterns. In this paper, in order to detect anomalies, a system based on self-organizing multi agent systems is presented. Multi agent systems are made up of agents that interact with each other to achieve a specific goal. These systems are used to solve problems that are difficult for a single agent to solve or integrate. The proposed system architecture is scalable and can adapt to changes in today's networks. The evaluation and analysis of the proposed system in the NSL-KDD dataset shows that the rate of anomalies detection has improved compared to the recently proposed methods. Also, by proposing an algorithm to optimize the agents’ choices and another one for intelligent agents’ decision weighting, the rate of anomaly detection is increased and the time of event analysis is reduced.