امروزه با پیشرفت چشمگیر زمینه ها در استفاده متبحرانه از شبکه های کامپیوتری (و خصوصاً اینترنت) لزوم برقراری امنیت و امکان تشخیص نفوذهای اخلال گرانه در آن بیش از گذشته مورد توجه قرار گرفته است. در همین راستا، رویکرد نظارت بر شبکه های کامپیوتری با استفاده از کنترل زمان حقیقی ترافیک در انواع مختلفی از سیستم های تشخیص نفوذ مبتنی بر شبکه و میزبان، ارزیابی و پیاده سازی می شود. این سیستم ها عموماً از تکنیکهای تطابق الگوها یا نشانه ها به عنوان هسته اولیه ساختار خود استفاده می کنند وبنابراین در شناسایی حملات ناشناخته ای که تاکنون الگویی برای تشخیص آنها وجود نداشته، عملکرد کارا و موثری ندارند.در این پژوهش، ابتدا کارایی توابع ویولت نسل اول و دوم در سیستم تشخیص مبتنی بر تحلیل ویژگی ها و با استفاده از مجموعه داده DARPA1999 [6]، بررسی شده و در ادامه رویکرد دیگری از این سیستم ها با استفاده از شبکه های عصبی، مورد ارزیابی قرار می گیرد. در این راستا، از تکنیک آنالیز مولفه های اصلی[1] جهت کاهش ابعاد ویژگی ها استفاده شده است. مجموعه داده مورد استفاده در این سیستم تشخیص، KDD 99[4] بوده که مجموعه ای از اتصالات است که هر یک در قالب 41 ویژگی توصیف شده اند. مجموعه داده ی آموزش این سیستم شامل 22 نوع حمله می باشد که نوع آنها برچسب گذاری شده است. پس از اعمال PCA ، یک شبکه عصبیپرسپترون چندلایه ای[2] براساس مجموعه ای از 45هزار اتصال آموزش داده می شود و سپس هر بار سه هزار اتصال بصورت تصادفی انتخاب شده و آزمایش می شود. نتایج حاصل از پیاده سازی نشان می دهد که استفاده از توابع ویولت نسل دوم در توسعه ی روشهای مشابه که پیشتر با استفاده از ویولت های نسل اول پیاده سازی شده بودند، تاثیر چشمگیری در بهبود عملکرد سیستم های تشخیص نفوذ نداشته اند. گرچه این دسته توابع را می توان به عنوان ابزاری برای پردازش داده ها جهت دستیابی به یک مدل مطلوب تر از داده های ورودی مورد توجه قرار داد. از سوی دیگر، ارزیابی روش مبتنی بر شبکه عصبی و PCA حاکی از عملکرد بسیار مطلوب این ساختار در سیستم های تشخیص نفوذ می باشد.کلمات کلیدی: سیستم تشخیص نفوذ، تبدیل ویولت، ویولت های نسل دوم، شبکه عصبی فهرست مطالب عنوان صفحه فصل اول (معرفی و طرح مساله)1-1 تقسیم بندی سیستم های تشخیص نفوذ......... 21-2- تعریف پروژه ............................ 31-3- هدف تحقیق .............................. 51-4-ساختار پایان نامه ....................... 5 فصل دوم (انواع حملات کامپیوتری) 2-1-حملات کامپیوتری فعال ..................... 92-2-حملات کامپیوتری غیرفعال .................. 102 -2-1- حملات رد سرویس ..................... 122-2-1-1- دسته بندی حملات رد سرویس ........ 122-2-1-2- انواع حملات رد سرویس ............ 13 فصل سوم (مطالعه موردی) 3-1-مطالعه موردی بر روی داده های DARPA 1999 . 183-2- مطالعه موردی بر روی داده های KDD 1999 ... 21 عنوان صفحه فصل چهارم (مبانی نظری) 4-1- مقدمه ای بر ویولت ...................... 284 -1-1-معرفی توابع ویولت .................. 304-1-2-تبدیل ویولت پیوسته .................. 324-1-3-تبدیل ویولت گسسته ................... 334-1-4- ویولت های نسل دوم .................. 344-2-آنالیز مولفه های اصلی .................. 384-2-1- الگوریتم آنالیز مولفه های اصلی ..... 394-3- معرفی شبکه عصبی ........................ 40 فصل پنجم (چهارچوب طرح پیشنهادی)5-1- ارزیابی روشهای مبتنی بر ویولت .......... 455-1-1- پیشینه پژوهش ها در زمینه بکارگیری ویولت 455-1-2- استفاده از ضرایب تقریب ویولت و معیار انحراف استاندارد ........................................... 485-1-3- استفاده از ضرایب ویولت و میانه برای پنجره های زمانی بطول 5 دقیقه .............................. 745-1-4- استفاده از ضرایب تقریب ویولت و معیار انحراف از میانگین ........................................... 805-1-5- روش تشخیص مبتنی بر آستانه انتخابی .. 815-2- استفاده از ابزارهای آنالیز داده اکتشافی 825- 3- روش مبتنی بر شبکه عصبی ................ 855-3-1- پیشینه پژوهش ها در زمینه استفاده از شبکه های عصبی 865-3-2- روش تشخیص مبتنی بر آنالیز مولفه های اصلی و شبکه عصبی........................................... 88 عنوان صفحه فصل ششم (ارزیابی تجربی و نتایج)6-1- نتیجه گیری ............................. 916-2- پیشنهادات .............................. 93 فهرست منابع .................................. 94 فهرست جدول هاجدول شماره 2-1: دسته بندی ویژگی های حملات رد سرویس 12جدول شماره 3-1: دسته بندی حملات موجود در مجموعه داده DARPA1999 19جدول شماره 3-2: توصیف ویژگی های مجموعه داده تشخیص نفوذ KDD 99 23جدول شماره 3-3: مشخصه های اولیه داده های تشخیص نفوذ KDD 99 25جدول شماره 3-4: لیست حملات و تعداد آنها در مجموعه داده ی 10% KDD 99 .............................................. 26جدول شماره 4-1: خلاصه ای از توابع شبکه مورد استفاده در شبکه های عصبی ......................................... 41جدول شماره 4-2: لیستی از توابع فعال سازی مورد استفاده در شبکه های عصبی ......................................... 42جدول شماره 5-1: مقایسه رفتار سه ضریب اول از ویولت های هار،کویفلت1 و یک ویولت نسل دوم ................... 59جدول شماره 5-2: مقایسه عملکرد اعمال مرحله lifting در یکو دو سطح بر روی دو ویولت هار و کویفلت1، در بازه زمانی 20 ثانیه .............................................. 64جدول شماره 5-3: مقایسه رفتار ضرایب اول در ویولت نسل دومو تابع ویولت متناظر با آن برای ویولت هار و کویفلت1 71 فهرست شکل ها عنوان صفحه شکل شماره 4-1 توزیع فرکانس زمانی در تبدیل ویولت،تبدیل فوریه و نسخه زمان-کوتاه آن.............. 31شکل شماره 4-2 یک طرح lifting کلی شامل مراحل Split، Dual و Primal 37شکل شماره 4-3 معکوس طرح lifting .................. 37شکل شماره 4-4 انتخاب محورهای جدید برای داده های دوبعدی در PCA .............................................. 38شکل شماره 4-5 ساختار پیشنهادی نرون مک کولچ و پیت 41شکل شماره 4-6 نمایش ساختاری از الگوی پرسپترون ساده 43شکل شماره 4-7 ساختار کلی شبکه های عصبی مصنوعیبه شکل پرسپترون چندلایه ای.................... 43شکل شماره 5-1-1 رفتار ضرایب اول، دوم و سوم ویولت هاربا پنجره زمانی 5 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم .......................................... 50شکل شماره 5-1-2 رفتار ضرایب اول، دوم و سوم ویولت کویفلت1با پنجره زمانی 5 ثانیه ، بر روی بخشی از ترافیک روز سوم از هفته دوم .......................................... 51شکل شماره 5-1-3 رفتار ضرایب اول، دوم و سوم ویولت نسل دوم(از طریق اعمال یک مرحله lifting بر روی ویولت هار) با پنجره زمانی 5 ثانیه،بر روی بخشی ترافیک روز سوم از هفته دوم ...... 52شکل شماره 5-2-1 رفتار ضرایب اول، دوم و سوم ویولت هار با پنجره زمانی 10 ثانیه ،بر روی بخشی از ترافیک روز سوم از هفته دوم .... 53عنوان صفحه شکل شماره 5-2-2 رفتار ضرایب اول، دوم و سوم ویولت کویفلت1با پنجره زمانی 10 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم .......................................... 54شکل شماره 5-2-3 رفتار ضرایب اول، دوم و سوم ویولت نسل دوم(از طریق اعمال یک مرحله lifting بر روی ویولت هار) با پنجره زمانی 10 ثانیه،بر روی بخشی از ترافیک روز سوم از هفته دوم ... 55شکل شماره 5-3-1 رفتار ضرایب اول، دوم و سوم ویولت هار با پنجره زمانی 15 ثانیه،بر روی بخشی از ترافیک روز سوم از هفته دوم ... 56شکل شماره 5-3-2 رفتار ضرایب اول، دوم و سوم ویولت کویفلت1با پنجره زمانی 15 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم .......................................... 57شکل شماره 5-3-3 رفتار ضرایب اول، دوم و سوم ویولت نسل دوم(از طریق اعمال یک مرحله lifting بر روی ویولت هار) با پنجره زمانی 15ثانیه،بر روی بخشی از ترافیک روز سوم از هفته دوم .... 58شکل شماره 5-4-1 رفتار ضرایب اول، دوم و سوم ویولت نسل دوم(از طریق اعمال مرحله lifting روی ویولت هار و در یک سطح)با پنجره زمانی 20 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم .......................................... 60شکل شماره 5-4-2 رفتار ضرایب اول، دوم و سوم ویولت نسل دوم(از طریق اعمال مرحله lifting روی ویولت هار و در دو سطح)با پنجره زمانی 20 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم .......................................... 61شکل شماره 5-4-3 رفتار ضرایب اول، دوم و سوم ویولت نسل دوم(از طریق اعمال مرحله lifting روی ویولت کویفلت1 و در یک سطح)با پنجره زمانی 20 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم .......................................... 62شکل شماره 5-4-4 رفتار ضرایب اول، دوم و سوم ویولت نسل دوم(از طریق اعمال مرحله lifting روی ویولت کویفلت1 و در دو سطح)با پنجره زمانی 20 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم .......................................... 63عنوان صفحه شکل شماره 5-5-1 رفتار ضریب اول ویولت هار و ویولت نسل دوم آن(از طریق اعمال مرحله lifting روی ویولت هار و در یک سطح)با پنجره زمانی 10 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم .......................................... 65شکل شماره 5-5-2 رفتار ضریب اول ویولت هار و ویولت نسل دوم آن(از طریق اعمال مرحله lifting روی ویولت هار و در یک سطح)با پنجره زمانی 15 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم .......................................... 66شکل شماره 5-5-3 رفتار ضریب اول ویولت هار و ویولت نسل دوم آن(از طریق اعمال مرحله lifting روی ویولت هار و در یک سطح)با پنجره زمانی 20 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم .......................................... 67شکل شماره 5-6-1 رفتار ضریب اول ویولت کویفلت1 و ویولت نسل دوم آن(از طریق اعمال مرحله lifting روی ویولت کویفلت1 و در یک سطح)با پنجره زمانی 10 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم........................................... 68شکل شماره 5-6-2 رفتار ضریب اول ویولت کویفلت1 و ویولت نسل دوم آن(از طریق اعمال مرحله lifting روی ویولت کویفلت1 و در یک سطح)با پنجره زمانی 15 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم .......................................... 69شکل شماره 5-6-3 رفتار ضریب اول ویولت کویفلت1 و ویولت نسل دوم آن(از طریق اعمال مرحله lifting روی ویولت کویفلت1 و در یک سطح)با پنجره زمانی 20 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم .......................................... 70شکل شماره 5-7-1 نمودار انحراف استاندارد طی ساعت سوم تا پنجمترافیک روز سوم از هفته دوم در بازه های زمانی 5 ثانیه 72شکل شماره 5-7-2 نمودار انحراف استاندارد طی ساعت سوم تا پنجمترافیک روز سوم از هفته دوم در بازه های زمانی 10 ثانیه 73شکل شماره 5-7-3 نمودار انحراف استاندارد طی ساعت سوم تا پنجمترافیک روز سوم از هفته دوم در بازه های زمانی 15 ثانیه 74عنوان صفحه شکل شماره 5-8-1 نمودار انحراف از میانه ضرایب ویولت نسل دوم(از طریق اعمال یک مرحله lifting بر روی ویولت هار) برای ترافیکروز سوم از هفته دوم و رفتار حمله satan در آن.... 75شکل شماره 5-8-2 نمودار انحراف از میانه ضرایب ویولت نسل دوم(از طریق اعمال یک مرحله lifting بر روی ویولت کویفلت1) برایترافیک روز سوم از هفته دوم و رفتار حمله smurf در آن 76شکل شماره 5-8-3 نمودار انحراف از میانه ضرایب ویولت نسل دوم(از طریق اعمال یک مرحله lifting بر روی ویولت هار) برای ترافیکروز اول از هفته چهارم و رفتار حمله smurf در آن.. 77شکل شماره 5-8-4 نمودار انحراف از میانه ضرایب ویولت نسل دوم(از طریق اعمال یک مرحله lifting بر روی ویولت کویفلت1) برای ترافیک روز اول از هفته چهارم و رفتار حمله smurf در آن 77شکل شماره 5-8-5 نمودار انحراف از میانه ضرایب ویولت نسل دوم(از طریق اعمال یک مرحله lifting بر روی ویولت هار) برای ترافیکروز سوم از هفته چهارم و رفتار حمله smurf در آن.. 78شکل شماره 5-8-6 نمودار انحراف از میانه ضرایب ویولت نسل دوم(از طریق اعمال یک مرحله lifting بر روی ویولت کویفلت1) برای ترافیک روز سوم از هفته چهارم و رفتار حمله smurf در آن 78شکل شماره 5-8-7 نمودار انحراف از میانه ضرایب ویولت نسل دوم(از طریق اعمال یک مرحله lifting بر روی ویولت هار)برای ترافیک روز اول از هفته پنجم و رفتار حمله smurf در آن79شکل شماره 5-8-8 نمودار انحراف از میانه ضرایب ویولت نسل دوم(از طریق اعمال یک مرحله lifting بر روی ویولت کویفلت1) برای ترافیک روز اول از هفته پنجم و رفتار حمله smurf در آن 79عنوان صفحه شکل شماره 5-9-1 نمودار boxplot مربوط به روزهای اول تا پنجم از هفته دوم .......................................... 83شکل 5-9-2 نمودار boxplot مربوط به روزهای اول تا پنجم از هفته چهارم.............................................. 84شکل 5-9-3 نمودار boxplot مربوط به روزهای اول تا پنجم از هفته پنجم.............................................. 85 فصل اول مقدمه بی شک با توجه به گسترش فراگیر تکنولوژی و رویکرد متنوع در استفاده از شبکه های کامپیوتری، بحث امنیت اطلاعات و تشخیص بموقع و درست حملات و نفوذها در آن از اهمیت روزافزونی برخوردار است. 1-1- تقسیم بندی سیستم های تشخیص نفوذ عموماً تکنیکهای تشخیص به لحاظ ماهیت به دو گروه تقسیم می شوند: تشخیص سوء استفاده و تشخیص رفتار غیرعادی.در روشهای مبتنی برتشخیص سوء استفاده، حملات در صورتی قابل شناسایی اند که بتوان اثرات آنها را با تحلیل رفتارهای ترافیک شبکه مشخص نمود. به عبارت دیگر، براساس مجموعه ای از الگوهای نفوذ و نیز تطابق رفتار مشاهده شده با یکی از مدل ها، امکان تشخیص نفوذ فراهم می گردد. اشکال عمده ی این روش در تشخیص حملات ناشناخته ای است که تاکنون الگویی برای آنها وجود نداشته و بنابراین با این سیستم قابل شناسایی نمی باشند. برای جبران این محدودیت، روش دیگری براساس تشخیص رفتارهای غیرعادی مطرح شد. در این رویکرد که برای نخستین بار در پژوهش دنینگ [1] مطرح شد، اساس سیستم تشخیص نفوذ مبتنی بر رفتارعادی سیستم بنا گذارده می شود. در نتیجه اکثر تکنیکهای تشخیص رفتار غیرعادی، همواره در تلاش برای ایجاد پروفایل های عملکرد نرمال با محاسبه و ارزیابی معیارهای گوناگون بوده اند. براین اساس یک حمله زمانی تشخیص داده می شود که رفتار سیستم در آن لحظه، از این پروفایل نرمال تخطی کند.بنا بر پژوهش اکسلسون[2]، نخستین سیستم های تشخیص رفتار غیر عادی مبنایی خودآموز داشتند. به این معنا که خودشان رفتار نرمال سیستم را تبیین می کردند. اگرچه تکنیکهای یادگیری ماشین نتایج خوبی دربرداشتند اما هنوز با محدودیت های قابل ملاحظه ای برای تشخیص حملات جدید مواجه بودند. بدین سبب تکنیکهای پردازش سیگنال به عنوان جایگزینی کارآمدتر برای روش های پیشین مطرح شدند.از سوی دیگر، سیستم های تشخیص نفوذ را از نظر منبع مورد بررسی میتوان در دو گروه دسته بندی نمود[3]: تشخیص نفوذ براساس مدل میزبان و تشخیص نفوذ براساس ترافیک شبکه.در روش مبتنی بر میزبان، مبنای تحلیل عملکرد بر روی یک سیستم منفرد است و معمولاً این روش براساس فعالیت های کاربر سیستم مثل فراخوانی های سیستمی می باشد. اما در تشخیص نفوذ براساس ترافیک شبکه، کل ساختار و یا هریک از میزبان ها می تواند به عنوان دامنه ی پیاده سازی تکنیکها مدنظر قرار گیرد. 1-2- تعریف پروژه در این پژوهش، هر دو روش تشخیص سوء استفاده و تشخیص رفتار غیرعادی را در قالب دو راهکار مختلف مورد بررسی قرار می گیرد. در این راستا، از دو نوع داده، شامل مجموعه های DARPA1999 و KDD1999 استفاده شده است مجموعه داده DARPA1999 شامل پنج هفته ترافیک یک شبکه شبیه سازی شده، درقالب فایل های TCPDUMP می باشد که هفته اول و سوم، ترافیک نرمال و هفته دوم، چهارم و پنجم، حملات را نیز دربرمی گیرد. بعلاوه، بررسی ها نشان می دهد در بسیاری از پژوهش های پیشین، سیستم های تشخیص نفوذ از داده های جریان شبکه (مثل net flow، sflow و ipfix) استفاده می کنند. اما در این پژوهش، طی یک پروسه پیش پردازش، از فایل های TCPDUMP، گزارش جریان گرفته شده و براساس برخی ویژگی های این گزارشات، سیستم تشخیص فرموله سازی می گردد.بعلاوه، پیش از این در مجموعه داده های تشخیص نفوذ 1999 KDD CUP [4]، لی و همکاران، داده های نفوذ[3] را در قالب سه دسته از ویژگی ها مشخصه سازی کرده اند: ویژگی های اولیه[4]، ویژگی های محتوا[5] و ویژگی های ترافیک[6] [5] آنها سپس ارتباطات شبکه را با استفاده از 41 ویژگی، توصیف کردند. البته این رویکرد، حملات را تا حد ممکن پوشش می دهد. ولی بررسی بسته های شبکه با حجم بالایی از ویژگی ها، تشخیص نفوذهای آنلاین را تقریباً غیرممکن می سازد. درواقع، هدف انتخاب ویژگی ها، دستیابی به توصیف کامل همه ی فعالیت های مخرب شبکه نیست. بلکه مقصود آن، تبیین تعداد محدودی از نشانه هایی است که با آن می توان یک تشخیص موثر و کارا انجام داد. [1] Principal Component Analysis (PCA)[2] Multilayer Perceptron (MLP)[3] Intrusion data[4] Basic features[5] Content features[6] Traffic features