تشخیص نیمه نظارتی ناهنجاری در شبکه های کامپیوتری

در این پایان نامه، یک سیستم تشیخص نفوذ نیمه نظارتی، طراحی و ارزیابی شده است. سیستم پیشنهادی در دسته ی سیستم های تشخیص ناهنجاری است. ابتدا با استفاده از الگوریتم خوشه بندی بهبود یافته k-means بر روی داده های آموزشی نرمال، پروفایل عملکرد نرمال سیستم استخراج می شود. به منظور مشخص کردن محدوده¬ی هر خوشه نرمال، در فضای ویژگی از بردار پشتیبان توصیف داده ها، استفاده شده است. بردار پشتیبان توصیف داده برای هر خوشه یک فوق کره است که نمونه های آن خوشه در آن قرار می گیرد و برچسب گذاری نمونه ها با استفاده از این مدل ها انجام خواهد شد. از آنجا که مرز این مدل ها تاثیر زیادی بر دقت عملکرد سیستم خواهد داشت، تنظیم دقیق این مرزها نقش کلیدی در دقت شناسایی نمونه های نرمال و حملات دارد. با توجه به این که تنظیم مرزها بر اساس معیار فاصله تعریف شده بین نمونه¬ها انجام می پذیرد، در این پایان نامه طراحی یک معیار فاصله فراتر از معیار اقلیدسی متداول مورد بررسی قرار گرفته است. در طرح پیشنهادی این معیار فاصله با استفاده از تعداد محدودی از اطلاعات نظارتی یادگیری شده است. شناسایی این معیار از طریق تعریف و حل یک مساله ی بهینه سازینیمه معین مثبت انجام می شود که تابع هدف و محدودیت های این مساله از اطلاعات نظارتی موجود استخراج می شود. با ثابت نگه داشتن مرکز خوشه های حاصل از مرحله ی خوشه بندی و اعمال معیار فاصله ی جدید، نمونه های آموزشی به همراه تعدادی از نمونه های نظارتی، مجددا خوشه بندیمی شود و مرز مدل های استخراج شده تنظیم می شود. در ارزیابی روش ارایه شده از مجموعه داده های kyoto 2006+ استفاده شده است. این مجموعه داده ها از اندازه گیری های واقعی روی شبکه استخراج شده اند که رفتار نشست های نرمال و حملات را به خوبی منعکس می کند. ارزیابی سیستم تشخیص نفوذ پیشنهادی بر روی این مجموعه از داده¬ها نشان می دهد که دقت شناسایی نمونه های نرمال نسبت به روش های موجود و مطرح اخیر از 3 تا 7 درصد بهبود داشته است در حالیکه دقت شناسایی نمونه های حمله به مقدار ناچیزی کاهش یافته است.