چکیده :امروزه گسترش تکنولوژی بخصوص شبکه های رایانه ای و وابسته شدن هرچه بیشتر مردم به این تکنولوژی بر کسی پوشیده نیست. در کنار آن فعالیت های مخربانه عده ای سودجو جهت آسیب رسانی به اطلاعات دیگران در این حوزه، شکل های جدیدی بخود گرفته و همچنان در موازات پیشرفت تکنولوژی، این فعالیت های مخربانه نیز پیشرفت چشمگیری داشته است. از جمله این فعالیت های مخربانه، حملات متنوع و پیچیده به شبکه های رایانه ای می باشد. از این رو در ادامه به بررسی سیستم های تشخیص نفوذ به شبکه های رایانه ای به عنوان یک ابزار قدرتمند برای تشخیص حملات پرداخته و با بررسی تکنیک های مطرح در حوزه داده کاوی و بخصوص الگوریتم ماشین های بردار پشتیبان ، راهی برای بهبود ضعف های بکارگیری این الگوریتم در سیستم های تشخیص نفوذ مطرح می کنیم.الگوریتم ماشین های بردار پشتیبان یک الگوریتم قدرتمند برای دسته بندی داده ها است اما دارای ضعف هایی مثل تنظیم پارامترهای مورد نیازش می باشد. برای حل این چالش مهم از الگوریتم های قدرتمند در حوزه محاسبات تکاملی ازقبیل الگوریتم ژنتیک، الگوریتم رقابت استعماری و الگوریتم ازدحام ذرات استفاده می کنیم. مشکل دیگر الگوریتم های ماشین بردار پشتیبان این است که صرفا برای دسته بندی داده های دو کلاسه طراحی شده اند، در صورتیکه مجموعه داده موجود برای سیستم های تشخیص نفوذ بیشتر از دو کلاس دارند. در نهایت ماشین بردار پشتیبانی ارائه شد که علاوه بر انجام عمل دسته بندی برای داده هایی با بیش از دو کلاس ، پارامترهای مورد نیازش را از طریق الگوریتم های فراابتکاری تنظیم می کند.کلید واژه: سیستم تشخیص نفوذ، الگوریتم فراابتکاری، امنیت شبکه فهرستعنوان صفحهفصل اول : مقدمه و کلیات تحقیق.. 11-1) تعریف سیستم تشخیص نفوذ :.. 22-1) اما چه چیزهایی سیستم تشخیص نفوذ نیست؟.. 23-1 ) دسته بندی حملات :.. 44-1) انواع دسته بندی سیستم های تشخیص نفوذ :.. 41-4-1) روش های تشخیص نفوذ.. 61-1-4-1) روش تشخیص امضاء :.. 62-1-4-1) روش تشخیص بر اساس ناهنجاری :.. 63-1-4-1) روش ترکیبی :.. 72-4-1) دسته بندی براساس ساختار سیستم حفاظتی.. 81-2-4-1) سیستم تشخیص نفوذ مبتنی بر میزبان :.. 82-2-4-1) سیستم تشخیص نفوذ مبتنی بر شبکه :.. 93-2-4-1) مدل ترکیبی:.. 93-4-1) دسته بندی از لحاظ ساختار پردازشی:.. 104-4-1) دسته بندی بر اساس نوع منابع داده:.. 105-4-1) دسته بندی براساس رفتار بعد از حمله:.. 106-4-1) دسته بندی بر اساس جنبه های زمانی.. 10فصل دوم : ادبیات و پیشینه تحقیق.. 121-2) داده کاوی: مقدمه.. 132-2) دادهکاوی: مفاهیم کلی133-2) روال داده کاوی161-3-2) بیان مسأله و فرمول بندی فرضیه172-3-2) گردآوری داده173-3-2) انجام پیش پردازش184-3-2) تشخیص و حذف داده های زائد185-3-2) برآورد مدل (کاوش داده)196-3-2) تعبیر مدل و استخراج نتایج194-2) آشنایی با مجموعه داده KDD :.. 205-2) ماشین های بردار پشتیبان.. 231-5-2) دسته بندی کننده بردار پشتیبانی.. 242-5-2) SVCبا حاشیه انعطاف پذیر.. 303-5-2) کرنل:.. 331-3-5-2) انواع کرنل ها :.. 354-5-2) مقایسه ماشین های بردار پشتیبان با شبکه های عصبی.. 353-5-2) نقاط ضعف ماشین های بردار پشتیبان.. 36فصل سوم : روش تحقیق.. 391-3) بهینه سازی.. 402-3) مقایسه ریشه یابی با بهینه سازی:.. 403-3) انواع بهینه سازی:.. 414-3) فراابتکاری.. 425-3) انواع الگوریتمهای ابتکاری.. 441-5-3) الگوریتم ژنتیک.. 461-1-5-3) مراحل انجام الگوریتم ژنتیک.. 472-1-5-3) عملگرهاي الگوریتم ژنتیک:.. 473-1-5-3) شرایط خاتمه برای الگوریتم ژنتیک.. 582-5-3) الگوریتم رقابت استعماری (ICA).. 587-2-5-3) مراحل الگوريتم رقابت استعماري.. 693-5-3) الگوریتم بهینه سازی توده ذرات (PSO ).. 71مراحل الگوریتم PSO.. 72فصل چهارم : محاسبات و یافته های تحقیق.. 73فصل پنجم: نتیجه گیری و پیشنهادات.. 83مراجع:.. 85 فهرست جداولعنوان صفحهجدول 2- 1دسته بندی رکورد های انتخابی بر اساس الگوریتم های اعمالی. 22جدول 2-2 بررسی ویژگی های رکوردهای موجود در KDD CUP 99. 88جدول 4-1نتایج حاصل از ترکیب الگوریتم های فراابتکاری با ماشین های بردار پشتیبان چندکلاسه. 76 فهرست تصاویر و نمودارهاعنوان صفحه شکل 1-1 : دسته بندی های مختلف سیستم های تشخیص نفوذ.......................................................................................................................... 5شکل 1-2: HIDS ها روی هر یک از سیستم ها بصورت جداگانه نصب می شوند.............................................................................................. 8شکل1-3 : NIDS باید در جایی قرار داشته باشد که ترافیک کل شبکه را مورد بررسی قرار دهد.................................................................. 9شکل 2-1 : درصد کارایی الگوریتم های بکار رفته برروی دیتاست مورد نظر.. 22شکل2-2: صفحه تفکیک کننده داده ها در SVC برای فضای سه بعدی.. 24شکل 2-3 : نحوه تفکیک ماشین بردار پشتیبان برای داده ها دو بعدی.. 25شکل 2-4 : دو کلاس خطی جدایی پذیر و طبقه بندی کننده SVM... 26شکل 2-5 : نمایش تاثیر تابع کرنل برای نگاشت داده ها به فضای خطی.. 31شکل2-6 : نمایش خط تفکیک کننده دو کلاس توسط ماشین بردار پشتیبان غیرخطی با C=10 و Sigma=1.............................37شکل2-7 : نمایش خط تفکیک کننده دو کلاس توسط ماشین بردار پشتیبان غیرخطی با C=10 و Sigma=3............................37شکل 3-1 : جهش باینری در کروموزوم.. 56شکل 3-2 : وارونه سازی بیت.. 57شکل 3-3 : تغییر ترتیب قرارگیری.. 57شکل 3-4: وارون سازی.. 57شكل 3‑5: اجزاي اجتماعي سياسي تشکيل دهنده يک کشور.. 59شكل 3‑6: چگونگي شکلگيري امپراطوريهاي اوليه.. 61شكل 3‑7: شماي کلي حرکت مستعمرات به سمت امپرياليست.. 62شكل 3‑8: حرکت واقعي مستعمرات به سمت امپرياليست.. 63شكل 3‑9: تغيير جاي استعمارگر و مستعمره.. 65شكل 3‑10: کل امپراطوري، پس از تغيير موقعيتها.. 65 شكل 3‑11: شماي کلي رقابت استعماري: امپراطوريهاي بزرگتر، با احتمال بيشتري، مستعمرات امپراطوريهاي ديگر را تصاحب ميکنند. .. 66 شكل 3‑12: سقوط امپراطوري ضعيف .. 69 شكل 3-13: شماي کلي الگوريتم توسعه داده شده .. 70 شکل 3-14: نحوه حرکت ذرات .. 72شکل 3-15 : فلوچارت مربوط به روند انجام تبدیل داده ها از چند کلاسه به دو کلاسه و سپس اعمال پارامترهای دریافت شده از الگوریتم فراابتکاری................................................................................................................................................................................................................75 شکل 4- 1: نمودار مربوط به روند پیدا کردن بهترین هزینه توسط الگوریتم ژنتیک .. 77 شکل 4- 2:نمودار مربوط به روند پیدا کردن بهترین هزینه توسط الگوریتم ICA.. 77 شکل 4- 3:نمودار مربوط به روند پیدا کردن بهترین هزینه توسط الگوریتم PSO.. 78 فصل اول : مقدمه و کلیات تحقیقسیستم تشخیص نفوذ[1](IDS) یک سیستم دفاعی است که فعالیت های خصمانه در یک شبکه کامپیوتری را پیدا می کند. به عبارت دیگر مهمترین مسئله در این سیستم ها این است که اغلب فعالیت هایی که ممکن است امنیت سیستم را به خطر بیندازد و یا کارهایی که منجر به شروع یک خرابکاری در سیستم بشود را تشخیص می دهد مانند شناسایی اولیه اطلاعات سیستم ها و یا فاز جمع آوری داده که منجر به آسیب رساندن به سیستم می شود مانند عملیات اسکن پورت های سیستم.یک ویژگی مهم سیستم های تشخیص نفوذ توانایی آن ها در نمایش فعالیت های غیرنرمال در شبکه می باشد مانند تلاش کاربران برای ورود به محیط های غیر مجاز و اعلام خطر به مدیر سایت.علاوه بر آن یک سیستم تشخیص نفوذ این توانایی را دارد که بتواند حملاتی که از داخل یک سازمان و یا خارج از سازمان به داخل آن می شود را تشخیص دهد.برای درک بهتر سیستم های تشخیص نفوذ باید گفت که برخلاف لغات و اصطلاحات بکار رفته در تعاریف بالا هر چیزی را نمی توان در این دسته بندی قرار داد. به صورت منحصر به فرد ابزار های زیر یک سیستم تشخیص نفوذ نمی باشد:1-2-1 ) ابزارهایی که برای نگهداری گزارش روزانه یک سیستم بکار می رود به عنوان مثال تشخیص انواع آسیب پذیری هایی که منجر به از کار افتادن سیستم می شود. این ابزارها سیستم های مانیتور ترافیک شبکه می باشند.2-2-1 ) ابزارهایی که برای تشخیص آسیب پذیری های مربوط به باگ و عیب سیستم های عامل و سرویس های شبکه بکار می روند برای مثال Cyber Cop Scanner3-2-1 ) ابزارهایی که برای تشخیص نرم افزارهای مخرب مانند ویروس ها، اسب های تروجان، کرم ها و بمب های منطقی طراحی شده اند. اگر چه این موارد بسیار شبیه ویژگی های سیستم های تشخیص نفوذ می باشند یا به عبارت دیگر می توانند زمینه را برای یک نفوذ آماده کنند.نکته : ویروس ها برنامه هایی هستند که مشابه ویروس های زیستی گسترش یافته و پس از وارد شدن به کامپیوتر اقدامات غیر منتظره ای انجام می دهند. برای اینکه یک برنامه به عنوان ویروس شناخته شود فقط کافیست در ساختار خود یک واحد تکثیر کننده داشته باشد تا بتوانند سایر برنامه های دیگررا آلوده کنند اما درواقع ویروس ها در ساختار خود دارای چهار فسمت اصلی می باشند:واحد پنهان کننده : یک برنامه گمراه کننده که باعث می شود ویروس بتواند خود را در کامپیوتر پنهان کندواحد تکثیر کننده : یک برنامه تکثیر کننده که بوسیله آن ویروس می تواند خود را تکثیر کرده و برنامه بیشتری را آلوده کند.واحد فعال کننده : یک کلید فعال کننده که باعث می شود ویروس در زمان خاصی یا بعد از انجام عمل خاصی فعال شود.واحد اجرایی :قسمت اجرایی ویروس که ممکن است فقط یک نمایش بدون خطر باشد و یا یک برنامه خطرناک که باعث وارد شدن صدمه به سیستم شود.اسب های تروجان : بزرگترین تفاوت اسب های تروجان (تراوا) و یک ویروس این است که اسب های تراوا خودشان منتشر نمی شوند.کرم ها : کرم های کامپیوتری برنامه های هستند که بطور مستقل تکثیر و اجرا و در سراسر ارتباطات شبکه منتشر میشوند.تفاوت اصلی بین ویروس ها و کرم ها در روش تکثیر و پخش آنهاست. یک ویروس وابسته به یک فایل میزبان یا بخش راه انداز است در حالیکه یک کرم میتواند کاملا مستقل اجرا شود و از طریق ارتباطات شبکه منتشر گردد.4-2-1 ) فایروال ها5-2-1 ) سیستمهای رمزنگاری اینترنتی مانند VPN، SSL، Kerberos و غیره[28]بطور کلی حملات را می توان به چهار دسته زیر تقسیم بندی کرد:1-3-1) وارسی[2] : در این نوع از حملات شخص مهاجم برای جمع آوری اطلاعات و یا یافتن نقاط آسیب پذیر سیستم شروع به جمع آوری اطلاعات از سیستم یا شبکه می کند.2-3-1) حمله از کار انداختن سرویس[3] : در این حمله مهاجم آنقدر منابع سیستم را با استفاده از ابزارهایی که دارد مشغول می کند که سیستم سرویس دهنده بدلیل اتمام منابع قادر به پاسخگویی به سرویس ها نمی باشد.3-3-1) حمله کاربر به ریشه[4] : در این حمله مهاجم قصد دارد با دستیابی به نام کاربری یک کاربر مجاز در سیستم، نقاط آسیب پذیر را کشف کند.4-3-1) حمله کنترل از راه دور[5] : در این حمله مهاجم از راه دور و از طریق شبکه بسته هایی را به سیستم های مورد نظر ارسال میکند تا بتواند نقاط آسیب پذیر سیستم را کشف کند [5]. 4-1) انواع دسته بندی سیستم های تشخیص نفوذ :سیستم های تشخیص نفوذ را می توان از جهات مختلف دسته بندی کرد. شکل 1-1 یک نمونه از این دسته بندی را نشان می دهد[29].شکل 1-1 : دسته بندی های مختلف سیستم های تشخیص نفوذ[29] 1-4-1) روش های تشخیص نفوذروش تشخیص امضاء بر اساس داشتن الگویی از نفوذهای شناخته شده عمل میکند. در این روش، مسأله تشخیص نفوذ به یک مسأله دسته بندی تبدیل میشود و سیستم تشخیص نفوذ قادر است حمله هایی را که پیشتر الگوی آنها را در یک مرحله آموزشی فرا گرفته، تشخیص دهد. مهمترین خصیصه این روش آن است که سیستم امنیتی قادر است حمله های شناخته شده را با دقتی بالا و نرخ هشدار غلط خیلی کمتشخیص دهد. منظور از هشدار غلط هشداری است که هنگام عدم وقوع حمله توسط سیستم تشخیص نفوذ اعمال میگردد. وجود هشدار غلط حتی به میزان کم چنانچه بار ترافیکی عادی شبکه بالا باشد، باعث وقوع هشدارهای متعدد و خسته کننده میگردد. به همین دلیل نرخ تولید هشدار غلط توسط یک سیستم تشخیص نفوذبایستی تا حد امکان پایین باشد. البته ذکر این نکته ضروری است که پایین نگه داشتن نرخ مزبور سببکاهش توانایی سیستم در تشخیص حملات محتمل میگردد. به عبارتی بایستی میان دقت تشخیص بالا و نرخ هشدار غلط پایین نوعی تعادل برقرار نمود.[6]