تشخیص مبتنی بر ناهنجاری نفوذ در میزبان از طریق تشابه نمایه کاربر

تشخیص نفوذبخش مهمی از حفاظت امنیت سیستم های کامپیوتری است. هر چند محصولات تجاری بسیاری وجود دارند، ولی تشخیص نفوذ با محدودیت هایی که روشهای جاری دارند، کاری مشکل است. بنابراین، روشهای پیشرفته موردنیاز می باشند. یکی از روش های پیشرفته، روش همبستگی داده ها است. با استفاده از روش همبستگی یک نمایه از کارهایی که کاربر انجام می-دهد تشکیل می دهیم و آن را بعنوان رفتار هنجار تعریف می کنیم، رفتارهای غیر از آن را بعنوان رفتاری ناهنجار تشخیص می دهیم. سیستم هایی که تاکنون در زمینه همبستگی داده ها ارایه شده اند اغلب همبستگی بین اعلام خطرهای تولید شده توسط چند سیستم تشخیص نفوذ را بررسی می کنند ولی در سیستم پیشنهادی ما با استفاده از رابطه ضریب همبستگی پیرسن، همبستگی بین پارامترهای log file کاربر خاص اندازه گیری شده و با استفاده از پارامترهای همبسته یک گراف تشکیل می شود. سیستم تشخیص نفوذ ما اطلاعات مورد نیاز خود را از log سیستم عامل لینوکس دریافت می کند. از روش همبستگی برای تشخیص ناهنجاری استفاده نمودیم که به نرخ تشخیص بالا و نرخ اعلام هشدار پایین برسیم. هریال این گراف دارای یک وزن است که بیانگر ضریب همبستگی بین دو رأس آن (رأسها همان پارامترهای همبسته هستند) می باشد. این روش پیشنهادی همبستگی را بهبود بخشیدیم و برای هر یال این گراف یک رابطه رگرسیون اگر در نشستی رابطه رگرسیون بین دو پارامتر همبسته نقض شود همبستگی بین آنها تغییر نموده است و چنین اتفاقی می تواند به معنی تغییر رفتار در یک نشست باشد. که در نتیجه رفتار ناهنجار رخ داده است. با استفاده از 4 روش آماری و همبستگی رفتار ناهنجار کاربری خاص را تشخیص می دهیم. با توجه به اینکه روش همبستگی، روش اصلی این پایان نامه است ، و بدلیل نرخ تشخیص ناهنجاری و اعلام هشدار بدست آمده مناسب نیست، روش پیشنهادی را بهبود بخشیدیم که نتایج آن نشان دهنده قابل قبول بودن عملکرد روش بهبود یافته همبستگی برای تشخیص ناهنجاری است.