یکی از حمله های رایج در شبکه های کامپیوتری، حمله های رد سرویس توزیع شده می باشد. امروزه با گسترش روش های مقابله با حمله ddos لایه شبکه، مهاجمین به حمله های لایه کاربرد روی آورده-اند. حمله ddos در درخواست های http، نمونه ای از حمله ی لایه کاربرد است. با توجه به اینکه در لایه کاربرد حجم بیشتری از اطلاعات مورد پردازش قرار می گیرد، بررسی آن زمان بر و همراه با سربار زیادی می باشد و تمایز آن از ترافیک های خاصی چون ترافیک پر باری دشوار است. از سوی دیگر الگوریتم های الهام گرفته از سیستم ایمنی بدن انسان، با نام الگوریتم های سیستم ایمنی مصنوعی در مسائل مختلف چون مسائل داده کاوی، پردازش تصویر، شناسایی ویروس ها اعمال شده است و موفقیت چشمگیری داشته است. یکی از این الگوریتم ها که در سال 2007 مطرح گردید، الگوریتم dca می باشد. این الگوریتم که به شناسایی ناهنجاری می پردازد، به جای طبقه-بندی، با تخمین میزان خطر یک موجودیت و بررسی شرایط محیطی، احتمال خطرناک بودن و وجود ناهنجاری در آن موجودیت را تشخیص می دهد. با توجه به نو بودن این الگوریتم و موفقیت آن در مسائلی چون پویش پورت و شناسایی bot، این نوشتار با اعمال الگوریتم dca به همبندسازی هشدارها و شناسایی حمله ddos لایه کاربرد می پردازد. بدین منظور با استفاده از اطلاعات فایل ثبت سرویس دهنده ی وب، سیگنال های ورودی مشخص می شود. این سیگنال ها معرف شرایط محیطی هستند. پس از آن سیگنال های ورودی و آنتی ژن ها که همان درخواست های http کاربران است، به الگوریتم dca ارائه می شود و با استفاده از نمونه برداری های مختلف هر dc از محیط و تولید سیگنال های خروجی، وضعیت نرمال یا ناهنجار مشخص شده و حمله های ddos لایه کاربرد شناسایی می شود. ارزیابی راهکار ارائه شده، نشان دهنده ی کارایی و موفقیت این روش است. این الگوریتم دارای پیچیدگی زمانی n3 می باشد. این روش دارای نرخ شناسایی 96% می باشد که نشان دهنده ی انتخاب صحیح سیگنال ها و موفقیت الگوریتم می باشد. می توان الگوریتم را تعمیم داد و جهت شناسایی ناهنجاری های وب از آن بهره جست.

سیستم تشخیص نفوذ (ids) وظیفه ی نظارت بر رویدادهایی که در یک کامپیوتر و یا شبکه ی کامپیوتری رخ میدهد و تحلیل این رویدادها برای یافتن نشانه های نفوذ را بعهده دارد. منظور از نفوذ، تلاشی از طرف یک کاربر مجاز یا غیر مجاز است که نتیجه ی موفقیت آن به خطر افتادن محرمانگی، یکپارچگی، در دسترس بودن و یا عبور از مکانیزمهای امنیتی میباشد. معمولا ids در صورت تشخیص یک نفوذ با تولید یک هشدار مدیر امنیتی سیستم را از خطر بوجودآمده آگاه میکند. اما در یک شبکه ی کامپیوتری گسترده با دهها و یا صدها کاربر، تعداد هشدارهای تولید شده آنقدر زیاد خواهد شد که مدیر امنیتی سیستم قادر به تحلیل هشدارها و استفاده از آنها نخواهدبود. شناخته شده ترین راه حل برای مواجه با مشکلِ تعداد زیاد هشدارها، همبسته کردن آنهااست. همبسته سازی هشدارها روند تحلیل هشدارهای تولیدشده توسط یک یا بیش از یک ids و ایجاد یک دید کلی و سطح بالا نسبت به مخاطرات و یا حملاتِ در شرف وقوع میباشد. سیستم همبسته ساز معمولا این کار را با حذف هشدارهای کاذب، گروه بندی هشدارهایی که به یک رویداد مربوط میشوند و اولویت بندی هشدارها انجام میدهد. روشهای مختلفی برای انجام همبسته سازی هشدارها استفاده شده اند که آنها را به سه دسته ی کلیِ مبتنی بر همجوشی هشدارها، مبتنی بر فیلترکردن هشدارها و مبتنی بر کشف روابط سببی بین هشدارها تقسیم کرده اند. هیچ یک از روشهای مطرح شده به تنهایی قادر به تامین همه ی اهداف همبسته سازی نیستند. ضمن آنکه هریک دارای کاستی های خاص خود نیز میباشند. روشهای ترکیبی از ترکیبی از روشهای سه گانه ی فوق برای دستیابی به بهترین نتیجه استفاده میکنند. اما چالش اصلی برای روشهای ترکیبی یافتن ساختار ترکیبی مناسبی است که علاوه بر داشتن نقاط قوت هر یک از روشها از کاستیهای آنها نیز به دور باشند. رویکردهای مختلفی برای ارائه ی معماریها ترکیبی وجود داشته است. در این پایان نامه یک معماریِ ترکیبیِ سه لایه به نام icorrelator پیشنهاد شده است. هدف icorrelator آن است که همبسته سازی هشدارها با کمترین نیاز به دانش اولیه و بصورت پویا انجام شود در عین حال و بصورت همزمان کارایی و دقت همبسته سازی نیز بهبود یابد. معماریِ سه لایه ی icorrelator با الهام گرفتن از ساختار سیستم ایمنی بدن انسان طراحی شده است که مبتنی بر پاسخهای سیستم ایمنی مادرزادی، پاسخهای اولیه ی سیستم ایمنی اکتسابی و پاسخهای ثانویه ی سیستم ایمنی اکتسابی میباشد. علاوه بر این از لحاظ عملکردی نیز icorrelator از یکی از الگوریتمهای شناخته شده ی سیستم ایمنی مصنوعی به نام airs برای یادگیری با نظارت استفاده میکند. معماری سه لایه ی icorrelator از ترکیبی از دانش اولیه ی محدود در قالب قوانین عمومیِ غیر وابسته به حملاتِ خاص برای مواجه با حالات پیشبینی شده، یک الگوریتم یادگیریِ بانظارت برای مواجه با حالات جدید و پیشبینی نشده و همچنین سلولهای حافظه ی ایمنی برای بخاطر سپردن این حالات جدید برای مواجه های بعدی استفاده میکند. هدف از بکارگیری این ساختار ترکیبی سه لایه در icorrelator برخورداری از دقت در عین کارایی و پویایی میباشد. مجموعه های داده ای drpa2000 و netforensics honeynet برای بررسی دقت و کارایی icorrelator مورد استفاده قرار گرفته اند. سه معیار کمال، درستی و نرخ خطا در همبسته سازی برای بررسی دقت و همچنین زمان اجرا برای بررسی کارایی icorrelator مورد استفاده قرارگرفته است. برای کلیه ی داده های مورد استفاده، icorrelator توانسته است به صورت پویا و بدون داشتن دانش اولیه ای از حملات موجود در مجموعه های داده ای، حملات را استخراج و گراف حمله را نمایش دهد. icorrelator از لحاظ دقت قابل مقایسه با روشهایی است که با استفاده از تعداد بسیار زیادی از قوانینِ ویژه همین حملات را تشخیص میدهند (پویا نیستند) و از لحاظ کارایی نیز از روشهای پویای موجود بهتر عمل میکند بطوری که زمان آموزش آن بسیار کوتاه است و فرآیند یادگیری با جمع آوری اطلاعات به صورت پویا و در حین پردازش هشدارها انجام میشود. توانایی icorrelator در استخراج حملاتی که هیچ گونه اطلاع قبلی از کیفیت وقوع آنها ندارد و ارائه ی گراف حمله ی آنها، شاهدی بر صحت عملکرد پویای آن میباشد.

با توسعه همه جانبه استفاده از شبکه های کامپیوتری، تهدیدات ناشی از اجرای حملات انکار سرویس توزیع شده در حال افزایش است به شکلی که این دسته از اختلالات به راحتی می توانند منابع ارتباطی و محاسباتی سیستم یا سیستم های قربانی را در مدت زمان کوتاهی از ارائه خدمت به کاربران قانونی خود باز دارند. در این تحقیق، مجموعه ای خلاقانه از تفکیک کننده های فازی-عصبی نوع سوگنو برای تشخیص حملات انکار سرویس توزیع شده ارائه گردیده است که برای تجمیع نتایج آن ها از روش bagging استفاده می شود. دقت تشخیص و هشدارهای مثبت نادرست، مقیاس هایی هستند که در این تحقیق از آن ها برای تحلیل کارایی روش پیشنهادی بهره گرفته شده است. نتایج آزمایشات صورت پذیرفته بر روی زیر مجموعه ای بهینه و تصادفی از مجموعه داده nsl-kdd dataset، نشان دهنده این امر می باشد که مجموعه طراحی شده از تفکیک کننده های پیشنهادی، طی فرآیند تشخیص حملات، به نرخ دقت بالاتری (%96) در مقایسه با سایر روش های پرکاربرد یادگیری ماشین دست یافته است. علاوه بر این، هشدارهای نادرست صادره توسط سیستم تشخیص نفوذ، با بکارگیری روش ارائه شده به شکل چشم گیری کاهش یافته است.

بدافزار به هربرنامه ی کامپیوتر که با هدف آسیب رساندن به سیستم ایجادشده باشد اطلاق می گردد هم چون ویروس، کرم، تروجان و ... . به مرور زمان فرآیند تولید بدافزارها کامل تر شد و از بدافزارهای ساده ی ابتدایی به بدافزارهای مبهم و پیچیده تبدیل شدند. دو نسل آخر بدافزارها که به بدافزارهای چندریخت و دگردیس معروفند از تکنیکی به نام تکنیک مبهم سازی استفاده می کنند. مبهم سازی به معنای تغییر ظاهر برنامه بدون تغییر در عملکرد آن است به گونه ای که درک برنامه برای خواننده سخت و یا ناممکن شود. این تکنیک به روش های مختلف پیاده سازی می شود که درج کد زباله، انتساب مجدد ثبات، مرتب سازی مجدد زیرروال، جایگزینی دستورات با دستورات هم ارز، جابه جایی دستورات، زیرروال درونی، زیرروال بیرونی، بسته بندی کد، یکپارچه سازی کد، مبهم سازی مجازی و تغییر کد میزبان از آن جمله اند. در این پایان نامه یک مبهم ساز با استفاده از 4 روش مبهم سازی تولید جایگشت تصادفی از عملگرهای محاسباتی جابه جاپذیر، بازنویسی عبارات منطقی و تولید جایگشت دستورات منطقی ، جابه جایی دستورات مستقل و جابه جایی بلاک های مستقل، پیشنهاد و پیاده سازی شده است. روش اول با استفاده از جایگشت عملگرهای محاسباتی جابه جاپذیر در عبارات ریاضی فرآیند مبهم سازی را انجام می دهد. روش دوم ارائه شده خود مشتمل بر دونوع مبهم سازی است که یکی بااستفاده از نقیض کردن عملوندها و عملگرهای منطقی and و or و دیگری بااستفاده از جایگشت تصادفی عملوندهای منطقی استفاده شده در عبارت منطقی صورت می گیرد. هرچند ایده ی روش سوم قبلا بیان شده بود ولی در این جا به منظور جلوگیری از تشخیص بدافزارهای ذینفع از این روش، جایگشت دستورات مستقل را در مبهم ساز پیش بینی کرده ایم و در نهایت روش پایانی درصورت وجود بلاک های مستقل در برنامه، آن ها را جابه جا می کند. سپس مبهم ساز ارائه شده در پایان نامه بااستفاده از سه ویروس taskmgr، shutdown و hibernate و در حضور آنتی ویروس تست گردید که نتایج حاصله موفقیت مبهم ساز جهت عدم تشخیص بدافزار را بیان می کند البته ذکر این نکته الزامیست که موفقیت مبهم ساز وابستگی زیادی به دستورات استفاده شده در برنامه دارد.

پیدایش وبسایت های شبکه اجتماعی بر بستر اینترنت، در سال های اخیر، موجب تحولات چشمگیری در روابط اجتماعی شده است. این وب سایت ها در کنار مزایای بسیار، دارای تأثیرات نامناسبی نیز هستند. از جمله گروه هایی که بیشتر در معرض این تأثیرات و خطرات هستند، رده سنی کودکان و نوجوانان است. پیشگیری از نمایش محتواهای نامناسب انتشاریافته در شبکه، همچون محتواهای غیراخلاقی و خشونت آمیز، برای کودکان و نوجوانان، هدف این پژوهش است. گام اوّل این پژوهش، شناسائی اجزای درگیر در مسئله است. این اجزاء شامل مولفه کاربران شبکه اجتماعی، مولفه محتوا و مولفه جستجو میشوند. راه حل پیشنهادی این پژوهش در قالب یک مولفه از سامانه شبکه اجتماعی عمل می کند. این مولفه، مولفه "کنترل نمایش محتوا برای کودکان در شبکه اجتماعی"، یا به اختصار مولفه snck، نامیده شده است. همچنین برای اوّلین بار در این پژوهش یک معماری از راه حل ارائه شده است. معماری snck از سه مولفه سنجش محتوا، سنجش ناشر محتوا و سنجش حساسیّت بیننده تشکیل شده است. برای شبیه سازی محیط مسئله، پیاده سازی و ارزیابی مولفه snck، از یک چارچوب توسعه برنامه های وب به نام دروپال بهره گیری شده است. در ابتدا اقدام به ایجاد یک شبکه اجتماعی با استفاده از دروپال و تولید داده های آزمایشی، از جمله کاربران و محتواها، در درون آن شده است. سپس snck که به صورت مولفه ای از دروپال پیاده سازی شده، در این محیط مورد ارزیابی قرار گرفته است. نتایج ارزیابی نشان از قابل پذیرش بودن عملکرد مولفه snck، هم به لحاظ دقّت عمل و هم به لحاظ زمان اجرا دارد. کودکان و نوجوانان آینده سازان جوامع هستند لذا صرف توجه و هزینه در مناسب سازی فضای مجازی، به ویژه شبکه های اجتماعی برای آنان، سرمایه گذاری محسوب می گردد. راه حل ارائه شده در این پژوهش سنگ بنای قابل قبولی برای حل این مسئله گذاشته است تا در آینده شاهد گسترش این راه حل و بهینه سازی آن بود.

کاوش قواعد انجمنی یکی از تکنیک¬های داده¬کاوی¬ست که الگوهای مفید را در قالب قانون استخراج می¬کند. از مشکلات مهم اعمال این تکنیک روی پایگاه داده¬ها، افشاء شدن اطلاعات حساس و خصوصی است که امنیت و محرمانگی این اطلاعات را به خطر می¬اندازد.بنابراین قبل از به اشتراک¬گذاری یا انتشار پایگاه داده، اطلاعات حساس و خصوصی باید پنهان شوند تا از دستیابی¬های غیرمجاز دیگران در امان بمانند. حفظ حریم¬خصوصی یک موضوع مهم در زمینه داده¬کاوی و امنیت پایگاه¬داده می باشد. یکی از راه¬حل های موثر جهت حفظ حریم¬خصوصی در داده¬کاوی ، استفاده از تکنیک های پنهان سازی مجموعه عناصر فراوان حساس )الگوهای فراوان حساس( می باشد. در تکنیک¬های پنهان سازی هدف¬هایی نظیر پنهان سازی تمام الگوهای حساس، عدم تولید قواعد ساختگی و کاهش قواعد گم¬شده دنبال می¬شود. در این تحقیق، الگوریتمی برای پنهان سازی قواعد حساس مبتنی بر کاهش پشتیبانی قواعد و تکنیک آشفته¬سازی ارایه شده است. الگوریتم پیشنهادی برای انتخاب مناسب¬ترین تراکنش جهت اعمال تغییرات، میزان همپوشانی عناصرحساس را در نظر گرفته و همچنین در انتخاب عنصر حساس جهت اصلاح تراکنش بین فراوانی عناصر حساس در الگوهای حساس و فراوانی عناصر حساس در الگوهای غیرحساس تعادل ایجاد می کند. الگوریتم پیشنهادی با الگوریتم های adsrrc، sif-idf و sl-hs بر روی پایگاه داده¬های متراکم و غیر متراکم واقعی و ساختگی اجرا شده است. زمان اجرای الگوریتم پیشنهادی در مقایسه با سایر الگوریتم¬ها در هر دونوع پایگاه داده، کاهش یافته است. همچنین از نظر تعداد قواعد گمشده، میزان تغییرات تراکنش ها و قواعدساختگی الگوریتم پیشنهادی از سایر الگوریتم ها کاراتر می باشد.

امروزه گردآورندگان اطلاعات به ویژه سازمان های آماری با دو مسئله متضاد مواجه اند. از یکسو، بنا به وظیفه قانونی و رشد روزافزون تقاضا برای اطلاعات جمعآوری شده، خود را متعهد به انتشار هر چه گسترده تر و باکیفیت تر اطلاعات به شکل داده های آماری می بینند و از سوی دیگر با توجه به نگرانی عمومی نسبت به افشا اطلاعات شخصی و وظیفه قانونی این سازمانها برای مراقبت از اطلاعات خصوصی پاسخگویان، باید این تضمین را بدهند که ضمن ارائه بیشترین اطلاعات به جامعه، حریم شخصی پاسخگویان در حد معقول حفظ شود. این مسئله زمانی حادتر میشود که مجموعه داده های منتشره توسط روش‏ های داده کاوی، در برابر حملات افشا صفت و هویت قرار میگیرند. بدین منظور برای حل این مسائل، رویکردهایی تحت عنوان p-sensitive k-anonymity, p+-sensitive k-anonymity and (p, α)-sensitive k-anonymityمطرح شد که ایراد الگوریتمهای ارائه شده در این زمینه عدم حفاظت مجموعه داده های خرد در برابر افشاء صفت و مقدار بالای نسبت انحراف است. برای غلبه بر این کمبودها در این پژوهش الگوریتمی سه مرحله‏ ای ارائه شده که مجموعه داده های خرد منتشره را در برابر افشا صفت و هویت محافظت میکند و میزان نسبت انحراف را در طول فرایند گمنام سازی به میزان قابل توجه‏ای کاهش می دهد.

بدافزار همان، ویروس، کرم و هر برنامه¬ی مخرب دیگری است که نیت اعمال خرابکارانه دارد.فرآیند تولید بدافزارها به مرور زمان کامل¬تر شده و از بدافزارهای ساده¬ی ابتدایی، به بدافزارهای مبهم و پیچیده تبدیل شدند.پیچیده¬ترین نوع از بدافزارها، بدافزارهای چندریخت و بدافزارهای دگردیس هستند که از تکنیک¬های مبهم¬سازی برای در آمان بودن از شناسایی¬شان توسط سیستم¬های تشخیص بدافزار استفاده می¬کنند.مبهم¬سازی به معنای تغییر ظاهر برنامه بدون تغییر عملکرد آن است به¬گونه¬ای که درک برنامه برای خواننده سخت و یا ناممکن شود.متخصصان امنیت از تکنیک¬هایی مانند تکنیک مبتنی بر رفتار، تکنیک مبتنی بر امضاء، گراف کنترل جریان، توالی فراخوان api، ویژگی n-gram برای تشخیص بدافزارهای دگردیس استفاده می¬کنند.ما در این پایان نامه برای تشخیص بدافزارهای دگردیس از ویژگی¬های آماری دستورات استفاده کرده¬ایم.به این گونه که ابتدا فایل¬های اجرایی را به کد اسمبلی تبدیل کرده وسپس فاصله¬ی فرکانس دستورات بین دو برنامه¬ را محاسبه می¬کنیم.در این روش پیشنهادی فقط دستورات کنترلی برنامه، برای تشخیص بدافزارهای مبهم¬شده بررسی می¬شود، زیرا منطق و فلوچارت هر برنامه¬ توسط دستورات کنترلی آن مشخص می¬شود.روش ما شامل دو مرحله اصلی می¬باشد، در مرحله¬ی اول فرکانس دستورات کنترلی بین دو برنامه محاسبه می¬شود اگر فاصله به¬دست آمده کمتر از آستانه¬ی تعیین شده باشد دو برنامه مبهم¬شده یکدیگر هستند در غیر این صورت این دو برنامه جهت بررسی بیشتر وارد مرحله دوم می¬شوند.در مرحله دوم فرکانس دستورات کنترلی بین توابع دو برنامه محاسبه می¬شود اگر فاصله به¬دست آمده بیشتر از آستانه¬ی تعیین شده باشد دو برنامه مبهم¬شده¬ی یکدیگر نیستند و حال اگر فاصله به¬دست آمده کمتر از فاصله تعیین شده باشد روش پیشنهادی ما دو برنامه¬ی فوق را مبهم¬شده¬ی یکدیگر شناسایی می¬کند.برای ارزیابی این روش پیشنهادی از تعدادی فایل اجرایی بی¬ضرر و تعدادی ویروس دگردیس و غیر دگردیس استفاده شده است.روش تشخیص پیشنهادی دارای نرخ تشخیص درست 100% و نرخ تشخیص غلط 0.8% است.

دلیل اصلی تنوع در پژوهش ها، تفاوت در سیستم های تصویربرداری پزشکی و وجود یا عدم وجود رنگ در این دسته از تصاویر می باشد. این موارد را می توان دلیل عدم وجود یک سیستم جامع بازیابی تصویر در زمینه پزشکی دانست. همچنین روزانه تصاویر پزشکی بسیار زیادی درحال تولید است که استفاده مفید از این تصاویر به نوعی جلوگیری از اتلاف هزینه ها است. هدف نهایی پژوهش حاضر، بهبود کارایی در بازیابی تصاویر پزشکی به منظور ایجاد یک سیستم دستیار پزشک می باشد که با استفاده از اطلاعات موجود در تصاویر، در تشخیص درست بیماری-ها به پزشک، کمک نماید. سیستم پیشنهادی، با دسته بندی تصاویر به منظور محدود کردن فضای جستجو و کشف الگوی رفتاری کاربر در مراحل دریافت بازخورد، عملیات بازیابی را با دقت بهتری انجام می دهد. نتایج حاصل از مقایسه الگوریتم پیشنهادی با الگوریتم های مشابه، نشان از کاهش تعداد مراحل دریافت بازخورد و در کنار آن، افزایش نسبی دقت تصاویر بازیابی شده دارد.