تشخیص آنومالی در شبکه با استفاده از تکنیک های داده کاوی

یک راه موثر، بکارگیری سیستم تشخیص نفوذ به عنوان ابزاری برای تشخیص آنومالی در شبکه است. سیستم تشخیص نفوذ به دو روش مبتنی بر امضا و تشخیص آنومالی کار می کند. در روش مبتنی بر امضا از حملات الگوبرداری می شود و این الگوها در فایل رویداد ذخیره می-گردد. در هنگام وقوع یک رویداد مشکوک، این رویداد با حمله موجود مطابقت داده می شود و در صورت یکی بودن آنها، نفوذ تشخیص داده می شود. از مزایای این روش نرخ هشدار غلظ پایین در تشخیص نفوذ است اما توانایی تشخیص حملات جدید را ندارد. در روش تشخیص آنومالی ابتدا یک الگوی نرمال تهیه می شود، سپس هر رویدادی که از این الگو منحرف شود به عنوان نفوذ تشخیص داده می شود. روش تشخیص آنومالی توانایی شناخت حملات جدید را دارد، اما نرخ هشدار غلط آن بالا است. سیستم های تشخیص نفوذ از روش های مختلفی نظیر روش های آماری، هوش مصنوعی و داده کاوی برای تشخیص آنومالی استفاده می-کنند. در سال های اخیر، روش داده کاوی دارای موفقیت بیشتری در زمینه آنومالی است. دادهکاوی یکی از مهمترین روشهایی است که به وسیله آن، الگوهای مفید در داده ها با حداقل دخالت کاربران شناخته میشوند و اطلاعاتی را در اختیار کاربران قرار میدهند تا براساس آنها تصمیم های مهم و حیاتی در سازمانها اتخاذ شوند به همین دلیل متخصصین زیادی به استفاده از روش های داده کاوی برای ساخت سیستم های تشخیص نفوذ مشغول هستند. در این پایان نامه با استفاده از روش های داده کاوی یک مدل ترکیبی پیشنهاد شده است. این مدل با ترکیب دو الگوریتم k-means و c5 یک سیستم تشخیص نفوذ با نرخ تشخیص آنومالی بالاتر و نرخ هشدار غلط کمتر پیشنهاد می کند. برای پیاده سازی و ارزیابی نتایج مدل پیشنهادی از مجموعه داده های استاندارد nsl-kdd و ترم افزار celementine استفاده شد. طبق نتایج حاصله نرخ تشخیص آنومالی توسط c5 با 65536 رکورد در حالت تست 59/99% است در حالیکه مدل ترکیبی پیشنهادی با نرخ تشخیص 69/99% در حالت تست، این مقدار را بهبود می بخشد.