2-4-2 وظایف عمومی یک سیستم تشخیص نفوذ:……………………39

2-4-3 دلایل استفاده از سیستم های تشخیص نفوذ:…………………… 40

2-4-4 جمع آوری اطلاعات…………………… 41

2-4-5 تشخیص و تحلیل: ……………………41

2-4-6 تشخیص سوء استفاده:……………………41

2-4-7 تشخیص ناهنجاری:…………………… 42

2-4-8 مقایسه بین تشخیص سوء استفاده و تشخیص ناهنجاری:…………………… 42

2-4-9 پیاده سازی سیستمهای تشخیص نفوذ:……………………42

2-5 تعاریف برخی مقادیر ارزیابی مورد استفاده در سیستم داده کاوی:………. 44

2-5-2 درستی …………………… 47

2-5-3 میزان خطا…………………… 47

2-5-4 حساسیت، میزان مثبت واقعی، یاد آوری…………………… 47

2-5-5 ویژگی، میزان منفی واقعی…………………… 48

2-5-6 حساسیت: ……………………48

2-5-7دقت……………………49

2-5-8 معیار F:……………………

2-6 پژوهشهای انجام شده در این زمینه:…………………… 50

2-6-1 پژوهش اول: کشف تقلب در سیستم­های مالی­با استفاده از داده ­کاوی…. 51

2-6-2 پژوهش دوم: کشف تقلب در کارت اعتباری با استفاده از شبکه عصبی و بیزین …. 53

2-6-3پژوهش سوم: شناسایی تقلب بیمه با استفاده از تکنیکهای داده ­کاوی……….. 56

2-6-4 پژوهش چهارم: استفاده از الگوریتم ژنتیک برای تشخیص تست نفوذ……… 62

2-6-5 پژوهش پنجم: شناسایی ترافیک غیرنرمال در شبکه با الگوریتم خوشه بندی …. 65

3-1 روش تحقیق…………………….. 71

3-2 داده­های آموزشی و تست:…………………… 73

3-2-1 ویژگی­های داده ­ها………. 73

3-2-2 ویژگیهای اساسی مجموعه داده ها:………………… 73

4-1 الگوریتمهای مدل بیزین و ارزیابی آنها…………………… 83

4-2 مدل کاهل…………………….. 92

4-3 شبکه عصبی…………………….. 99

4-4 مدل قانون محور……………………. 108

4-5 درخت تصمیم……………………. 118

4-6 ماشین بردار پشتیبان……………………. 130

فصل پنجم…………………… 139

5-1 مقدمه……………………. 140

5-2 مزایا ……………………141

5-3 پیشنهادات……………………… 141

فصل ششم…………………… 143

فهرست منابع……………………. 144

پیوستها…………………… 148

پیوست الف -مجموعه داده نوع اول:…………………… 148

پیوست ب-مجموعه داده نوع دوم……………………. 153

پیوست ج-نوع داده مجموعه سوم:…………………… 156

پیوست د-مجموعه داده نوع چهارم……………………. 161

پیوست ه -مجموعه داده نوع پنجم…………………… 190

چکیده:

با رشد فناوری اطلاعات، امنیت شبکه به عنوان یکی از مباحث مهم و چالش بسیار بزرگ مطرح است. سیستم های تشخیص نفوذ، مولفه اصلی یک شبکه امن است. سیستم های تشخیص نفوذ سنتی نمی­توانند خود را با حملات جدید تطبیق دهند از این رو امروزه سیستم های تشخیص نفوذ مبتنی بر داده­کاوی مطرح گردیده­اند. مشخص نمودن الگوهای در حجم زیاد داده، کمک بسیار بزرگی به ما می­کند. روش­های داده­کاوی با مشخص نمودن یک برچسب دودویی (بسته نرمال، بسته غیر­نرمال) و همچنین مشخص نمودن ویژگی­ها و خصیصه با الگوریتم­های دسته­بندی می­توانند داده غیر­نرمال تشخیص دهند. از همین رو دقت و درستی سیستم­های تشخیص­نفوذ افزایش یافته و در نتیجه امنیت شبکه بالا می­رود. در این پایان­نامه ما مدلی پیشنهادی ارائه می­نماییم که الگوریتم­های مختلف دسته­بندی را روی مجموعه داده خود تست نموده و نتایج شبیه­سازی نشان می­دهد در درخت تصمیم الگوریتم J48 ، شبکه عصبی الگوریتم Neural net ، شبکه بیزین الگوریتم HNB ، مدل کاهل الگوریتم K-STAR، در ماشین بردار پشتیبان الگوریتم LibSVM و در مدل قانون محور الگوریتمRule Induction Single Attribute دارای بهترین جواب از نظر پارامترهای مختلف ارزیابی برای سیستم تشخیص نفوذ است. بین تمامی الگوریتم­ها با این مجموعه داده، الگوریتم J48 دارای بالاترین مقدار درستی به میزان 85.49%، دارای بالاترین میزان دقت به مقدار 86.57% و دارای بالاترین مقدار یادآوری به مقدار 86.57% می­باشد. نوآوری اصلی در پایان ­نامه، استفاده از الگوریتم­های مدل کاهل و مدل قانون­محور است که تاکنون برای سیستم­های تشخیص­نفوذ استفاده نشده است. و همچنین پیشنهاد 5 نمونه داده که از داده اولیه استخراج شده که برای مدل­های مختلف و الگوریتم­ها بهترین جواب را می­دهد.

فصل اول: مقدمه و کلیات تحقیق

1-1- مقدمه

از آنجایی که از نظر تکنیکی ایجاد سیستم­های کامپیوتری بدون نقاط ضعف و شکست امنیتی عملا غیر ممکن است. تشخیص نفوذ در سیستم­های کامپیوتری با اهمیت خاصی دنبال می­شود. سیستم­های تشخیص نفوذ سخت­افزار یا نرم­افزاری است که کار نظارت بر شبکه ­کامپیوتری را در مورد فعالیت­های مخرب و یا نقص سیاست­های مدیریتی و امنیتی را انجام می­دهد و گزارش­های حاصله را به بخش مدیریت شبکه ارائه می­دهد‎[1]. سیستم­های تشخیص نفوذ وظیف شناسایی و تشخیص هر گونه استفاده غیر مجاز به سیستم، سوء استفاده و یا آسیب رسانی توسط هر دودسته کاربران داخلی و خارجی را بر عهده دارند. هدف این سیستم­ها جلوگیری از حمله نیست و تنها کشف و احتمالا شناسایی حملات و تشخیص اشکالات امنیتی در سیستم یا شبکه­کامپیوتری و اعلام آن به مدیر سیستم است. عموما سیستم­های تشخیص نفوذ در کنار دیوارهای آتش و بصورت مکمل امنیتی برای آن­ها مورد استفاده قرار می­گیرد. سیستم های تشخیص نفوذ ستنی نمی توانند خود را با حملات جدید تطبیق دهند از این رو امروزه سیستم های تشخیص نفوذ مبتنی بر داده­کاوی مطرح گردیده ­اند‎[1]. مشخص نمودن الگوهای در حجم زیاد داده، کمک بسیار بزرگی به ما می­کند. روش­های داده­کاوی با مشخص نمودن یک برچسب دودویی (بسته نرمال، بسته غیر­نرمال) و همچنین مشخص نمودن ویژگی­ها و خصیصه با الگوریتم­های دسته بندی می­توانند داده غیر­نرمال تشخیص دهند. از همین رو دقت و درستی سیستم های تشخیص نفوذ افزایش یافته و در نتیجه امنیت شبکه بالا می­رود‎[1].

در این پایان­نامه سعی شده است با استفاده از روش­های مبتنی بر داده­کاوی سیتم های تشخیص نفوذ پیشنهاد کنیم که از این روش­ها برای شناسایی و کشف حملات استفاده می­کنند. در این روش ما تمامی الگوریتم­های موجود را شبیه­سازی نموده و در خاتمه بهترین الگوریتم را پیشنهاد می­نماییم. نوآوری اصلی در این پایان­نامه، استفاده از الگوریتم­های مدل کاهل و مدل قانون­محور در داده­کاوی است که تاکنون برای سیستم­های تشخیص­نفوذ استفاده نشده است. همچنین استفاده از تمام الگوریتم­های موجود در روش­های دسته­بندی است که در نرم افزار WEKA و Rapidminer موجود است[67]. پیشنهاد 5 نمونه داده که از داده اولیه استخراج شده و برای مدل­های مختلف و الگوریتم­ها بهترین جواب را می­دهد از نوآوری این پایان­نامه است. استخراج 5 نمونه داده وقت بسیار زیادی به خود اختصاص داده وهمه الگوریتم­های مختلف موجود در مدل­های دسته­بندی با مجموعه داده­های مختلف شبیه­سازی و اجرا شدند که در نهایت 5 نمونه داده اولیه پیشنهاد نموده­ ایم.

2-1- بیان مسأله

در دنیای امروز، کامپیوتر و شبکه­های کامپیوتری متصل به اینترنت نقش عمده­ای در ارتباطات و انتقال اطلاعات ایفا می­کند. در این بین افراد سودجو با دسترسی به اطلاعات مهم مراکز خاص یا اطلاعات افراد دیگر و با قصد اعمال نفوذ یا اعمال فشار و یا حتی به هم ریختن نظم سیستم­ها، به سیستم ­های کامپیوتری حمله می­کنند. بنابراین لزوم حفظ امنیت اطلاعاتی و حفظ کارآیی در شبکه­های کامپیوتری که با دنیای خارج ارتباط دارند، کاملا محسوس است.

مكانیزم های امنیتی به 2 گروه كلی محافظتی و مقابله ای تقسیم بندی می شوند. مكانیزم های محافظتی سعی می كنند از اطلاعات و سیستم در مقابل حملات محافظت كنند. مكانیزم های مقابله ای هم برای مقابله با حمله تدارك دیده شده اند.‎[1] سیستم های تشخیص نفوذ مطابق تعریف مؤسسه ملی استانداردها و تكنولوژی های آمریكا، فرایندی هستند كه كار نظارت بر رویدادهایی كه در شبكه و سیستم رخ می دهد و همچنین كار تحلیل رویدادهای مشكوك را برای به دست آوردن نشانه نفوذ، بر عهده دارند.

3-1- اهمیت و ضرورت تحقیق