پایان نامه با کلید واژگان شبکه هشدار، حمل و نقل

و?قوت مربوط به خودش را دارا ميباشد. دقت بالا در تشخيص حملات و نرخ هشدار غلط پايين از جمله?ويژگيهاي اصلي در روش تشخيص امضاء ميباشد. در عين حال روش مزبور توانايي تشخيص حمله هاي جديد را دارا نمي باشد. روش تشخيص ناهنجاري با وجود داشتن توانايي بالا در تشخيص حمله هاي جديد،?داراي نرخ هشدار غلط بالايي است.
3-1-4-1) روش ترکيبي8 :
در اين روش که معمولا روش بهتري محسوب مي شود سيستم تشخيص نفوذ مزاياي دو حالت قبل را با هم مورد استفاده قرار مي دهد. ابتدا سيستم حملات شناخته شده را بر اساس تکنيک هاي روش مبتني بر امضاء پيدا مي کند و براي ساير حملات جديد که الگويي براي شناسايي آنها در پايگاه اطلاعاتي خود ندارد از روش مبتني بر ناهنجاري استفاده مي کند[[23],[35 .[32],
آقايان Zhang و Zulkernine در [21] يک مدل ترکيبي از سيستم هاي تشخيص نفوذ ارائه دادند که در واقع با استفاده از الگوريتم Random Forest ابتدا حملات شناخته شده را از طريق ماژول مبتني بر امضاء پيدا مي کند و سپس حملات خارج از پايگاه اطلاعاتي را با استفاده از همان الگوريتم و ماژول مبتني بر ناهنجاري پيدا مي کند. براي ارزيابي از مجموعه داده KDDCUP 1999 استفاده کرد که نتايج حاکي از آن است اين سيستم ترکيبي 94.7 درصد حملات را با تنها حدود 2 درصد نرخ هشدار غلط توانسته پيدا کند.
2-4-1) دسته بندي براساس ساختار سيستم حفاظتي
1-2-4-1) سيستم تشخيص نفوذ مبتني بر ميزبان9 :
اين نوع از سيستم هاي تشخيص نفوذ که اختصارا HIDS ناميده مي شوند تنها به بررسي تبادل اطلاعات موجود در يک کارت شبکه مي پردازند. به عبارت ديگر سيستم تشخيص نفوذ در هريک از سيستم ها بصورت جداگانه نصب مي شود. بديهي است که اين نوع از سيستم ها قادر به تشخيص برخي از حملات که بصورت گسترده در شبکه مي افتد نمي باشند و هزينه بالايي در بر خواهند داشت و نيز با تمامي سيستم هاي عامل سازگار نمي باشد اما يکي از مزيت هاي آن اين است که با کاهش تعداد قوانين سرعت آن افزايش مي يابد.
شکل 1-2: HIDS ها روي هر يک از سيستم ها بصورت جداگانه نصب مي شوند
2-2-4-1) سيستم تشخيص نفوذ مبتني بر شبکه10 :
در اين سيستم ها (NIDS) برخلاف حالت قبل به بررسي حملات روي شبکه مي پردازد. يعني علاوه بر برسي بسته هاي رسيده به کارت شبکه خود به اطلاعات در حال نقل و انتقال در کل شبکه نيز مي پردازد.(مثلا بسته هاي عبوري از روتر را مورد بررسي قرار ميدهد) اگر ترافيک شبکه رمز شده باشد، NIDS نمي تواند برخي از حملات را تشخيص دهد اين نوع از سيستم هاي تشخيص نفوذ کارايي بالاي براي تشخيص حملات DOS دارند.
شکل1-3 : NIDS بايد در جايي قرار داشته باشد که ترافيک کل شبکه را مورد بررسي قرار دهد.
3-2-4-1) مدل ترکيبي:
بديهي است بهترين حالت وقتي است که ترکيبي از دو حالت قبل يعني NIDS و HIDS براي تشخيص حملات در شبکه داشته باشيم.
3-4-1) دسته بندي از لحاظ ساختار پردازشي:
از لحاظ ساختار پردازشي بسته مي توان سيستم هاي تشخيص نفوذ را به دو حالت متمرکز و توزيع شده تقسيم بندي کرد. در حالت اول تمام پردازش ها دريک سيستم مرکزي انجام مي پذيرد اما در حالت دوم هر سيستم بصورت جداگانه پردازش بسته ها را انجام مي دهد.(در اين حالت از Agent ها براي اين پردازش ها استفاده مي کنند)
4-4-1) دسته بندي بر اساس نوع منابع داده:
برحسب اينکه سيستم تشخيص نفوذ از چه منبع داده اي براي تشخيص حملات استفاده مي کند مي توان سيستم هاي تشخيص نفوذ را به دسته هاي مختلفي تبديل کرد. اين منابع داده اي مي توانند موارد زير باشند:
منابع بازرسي شده بصورت دنباله اي مانند لاگ هاي سيستم
داده هاي بدست آمده از آناليز مکان هاي مختلف سيستم مانند هسته، سرويس، فايل ها و …
بسته هاي شبکه
5-4-1) دسته بندي براساس رفتار بعد از حمله:
برحسب اينکه بعد از تشخيص حملات چه عملياتي توسط سيستم هاي تشخيص نفوذ انجام بگيرد به دو دسته فعال و غير فعال مي توان اين سيستم ها را تقسيم بندي کرد. درحالت فعال سيستم، بعد از تشخيص حملات اقدام به هدايت فرد متخاصم به سمت کوزه عسل11 و يا اقداماتي از اين قبيل مي نمايد.
6-4-1) دسته بندي بر اساس جنبه هاي زماني
و درنهايت سيستم هاي تشخيص نفوذ را بر اساس زمانبندي آناليزها مي توان به دو دسته تقسيم بندي کرد: بررسي بسته هاي شبکه بصورت ممتد يا همان بلادرنگ و بررسي بصورت دوره اي که در اين حالت داده ها را ابتدا ذخيره کرده و در بازه هاي زماني مختلف به تحليل آنها و پيدا کردن حملات مي پردازند و در صورت پيدا کردن نشانه هاي از حملات به مدير شبکه هشدار مي دهد.
فصل دوم : ادبيات و پيشينه تحقيق
1-2) داده کاوي: مقدمه
بطور خلاصه داده کاوي12 عبارت است از کاوش يا استخراج دانش در مجموعه عظيمي از داده ها. ?رشد روز افزون داده در شاخه هاي مختلف صنعت و علوم باعث شده است تا از کامپيوتر و علوم مربوط به آن جهت پردازش اين حجم بالا از داده ها استفاده شود. بطور کلي هدف از پردازش داده ها، استخراج?اطلاعات و دانش از آنها به گونه اي است که بتوان در علوم و کاربردهاي ديگر از آنها استفاده نمود. کاوش?داده عبارت است از اعمال روشهاي مبتني بر کامپيوتر جهت استخراج دانش از روي داده هاي خام. در?سالهاي اخير روشهاي مختلف و متنوعي جهت کشف و استخراج دانش از روي داده هاي خام ارائه شده?است. دانش مزبور پس از استخراج شدن قابل ارزيابي توسط اشخاص خبره مي باشد. با توجه به ارزيابي?افراد خبره و همچنين روشهاي موجود در بررسي کيفيت دانش استخراج شده، اين امکان وجود دارد تا ?کارآيي الگوريتم کاوشگر دانش مورد مطالعه و بررسي قرار گيرد.,[4] [25]
?2-2) داده کاوي: مفاهيم کلي?
?بطور کلي علوم و مهندسي بر اساس مدلهاي علمي اوليه سعي در توصيف انواع مختلف سيستم ها ?مي کنند. اين توصيفها معمولا با يک مدل علمي اوليه مانند قوانين نيوتن در حرکت يا معادلات ماکسول در الکترومغناطيس آغاز شده و سپس بر اساس مدل بکار رفته مسائل مختلفي در مهندسي مکانيک يا?مهندسي برق مورد بررسي و آناليز قرار ميگيرد. از داده هاي آزمايشگاهي در اينگونه موارد جهت ارضاء?مدلهاي اوليه موجود استفاده ميشود. در اين راستا پارامترها و يا متغيرهايي که امکان محاسبه و?اندازه گيري آنها به طور مستقيم وجود ندارد و يا مشکل است تخمين زده مي شوند. در علوم مختلف?هميشه امکان داشتن مدلهاي اوليه ذکر شده وجود ندارد. همچنين بدست آوردن يک فرمول بندي رياضي?جهت واکشي يک مدل معمولا پيچيده و حتي در اکثر موارد امکانپذير نمي باشد.
با رشد علم کامپيوتر و?افزايش داده هاي متنوع در علوم مختلف، امکان استخراج مدلهاي حاکم بر مسائل گوناگون از روي?داده هاي مزبور ميسر است.?
?نياز به درک وقايع نهفته در حجم انبوهي از داده ها در زمينه هاي مختلف تجاري، علوم و مهندسي وجود?دارد. در دنياي تجارت، داده هاي شرکت و مشتري به عنوان منابع اصلي تصميم گيري شناخته مي شوند. استفاده مناسب از داده هاي مزبور ميتواند نقش تعيين کننده اي را در موفقيت و پيشرفت يک مجموعه?تجاري ايفا کند.?
فرآيند استفاده از يک روش مبتني بر کامپيوتر جهت استخراج دانش از داده هاي خام را ميتوان يک تعريف کلي براي داده کاوي در نظر گرفت.
1-2-2) اهداف مختلف داده کاوي به دو دسته زير تقسيم بندي?ميشوند:???
1-1-2-2) پيش بيني13: شامل استفاده کردن از برخي متغيرها يا فيلدها در مجموعه داده ها جهت پيش بيني مقادير نامشخص ميباشد.?
?2-1-2-2) توضيح يا توصيف14: تمرکز اين قسمت بيشتر بر روي استخراج الگوهاي توصيف کننده مجموعه داده ها? به گونه اي است که توصيف مزبور قابل درک و تفسير به کمک انسان خبره باشد.?
?اهميت هر کدام از اهداف فوق با توجه به کاربرد خاص داده کاوي متفاوت است.
2-2-2) کاربردهاي مختلف?داده کاوي در ادامه ارائه شده اند:?
??-2-2-2) دسته بندي15: هدف در دسته بندي، کشف يک مدل پيشگويي کننده به قسمي است که مدل مزبور توانايي دسته بندي يک داده ورودي را به يکي از مجموعه دسته هاي خروجي ممکن را دارا باشد.?
??-2-2-2) رگرسيون16: هدف در رگرسيون کشف يک مدل پيشگويي کننده با توانايي نگاشت يک نمونه داده اي به يک متغير تخميني است.?
??-2-2-2) خوشه بندي17: در خوشه بندي هدف يافتن مجموعه متناهي از دسته ها يا خوشه ها جهت توصيف داده ها مي باشد.?
4- 2-2-2)خلاصه بندي18: شامل روشهايي جهت يافتن توصيفي فشرده براي يک مجموعه داده مي شود.?
??-2-2-2) مدل کردن وابستگي19: هدف در مدل کردن وابستگي، يافتن مدلي محلي جهت تبيين وابستگي ميان متغيرها يا مقادير ويژگيها در يک مجموعه داده اي يا بخشي از آن است.?
6 -2-2-2) تشخيص انحراف و تغيير20: تشخيص تغييرات عمده در داده ورودي مهمترين هدف اين کاربرد مي باشد.?
??
فاکتور موفقيت در داده کاوي وابسته به ميزان انرژي، دانش و خلاقيتي است که شخص طراح مدل و الگوريتم داده کاوي براي آن صرف مي کند. در واقع فرآيند داده کاوي بسيار شبيه حل يک جورچين است.?
?قطعات يک جورچين هر کدام از نظر ساختار به تنهايي پيچيده نيستند. ولي چنانچه اين قطعات به صورت مجموعه اي گرد هم آيند، ميتوانند مبين سيستم بسيار پيچيده اي باشند. فرآيند داده کاوي از آن جهت شبيه جورچين است که ميتوان هر کدام از نمونه ها در مجموعه داده هاي ورودي را معرف يک قطعه در جورچين دانست. دانش نهفته در داده هاي مزبور و يا به عبارت ديگر نظم حاکمي که در ميان تمام داده ها وجود دارد و قادر است داده هاي ورودي يا بخشي از آنها را توجيه کند، همان نقشي است که يک جورچين در صورت کامل شدن ارائه مي کند. داده کاوي يکي از زمينه هايي است که در صنعت?کامپيوتر رشد قابل توجهي داشته است. يکي از دلايل اين امر رشد روز افزون روش هاي متنوعي است که از آنها جهت کاوش داده ها و استخراج دانش استفاده مي شود. از داده کاوي در صنايع مختلفي استفاده مي شود. نمونه هايي از اين صنايع عبارتند از: خرده فروشي، توليد و ساخت، مخابرات، بهداشت و درمان، بيمه، حمل و نقل، بازاريابي، مهندسي مجدد، قانون و جزاء و امنيت.?
?از ديدگاه کلي ميتوان داده کاوي را ترکيبي از علوم آمار و يادگيري ماشين دانست. در علم آمار تأکيد ?بيشتر بر روي واکشي يک فرمول رياضي جهت تبيين رابطه موجود ميان داده ها مي باشد. در مقابل يادگيري ماشين سعي در توجيه داده ها به صورت کاربردي و ضمني و نه لزوما فرمولي و صريح، مي کند.?
از ديدگاهي ديگر ميتوان هدف علم آمار را ارائه يک مدل دقيق براي داده هاي مورد بررسي دانست. اين?هدف در علم يادگيري ماشين بصورت ارائه يک الگوريتم ضمني جهت بررسي داده ها دنبال مي شود. اينکه?علم داده کاوي بيشتر به کداميک از علوم آمار يا يادگيري ماشين نزديکتر است بستگي به ماهيت مسأله اي? دارد که داده هاي مورد کاوش مربوط به آن هستند. هر چقدر که مسأله مزبور شناخته شده تر بوده و دانش ما در مورد داده هاي مورد کاوش بيشتر باشد، ماهيت علم داده کاوي به علم آمار نزديکتر مي شود.اين در حالي است که عدم وجود دانش قبلي درباره داده هاي مورد کاوش، ماهيت علم داده کاوي را به علم?يادگيري ماشين نزديکتر مي کند. با توجه به آنکه در مسأله تشخيص نفوذ دانش آماري خاصي درباره ?دسته هاي مختلف (همانند تابع توزيع احتمال وقوع حمله ها، نرخ رخداد دسته هاي موجود و غيره) براي ما فراهم نمي باشد، به همين دليل ميتوان ماهيت فرآيند داده کاوي را براي اين مسأله به علم يادگيري ماشين نزديکتر دانست.?
3-2) روال داده کاوي?
اگر بخواهيم تعريفي مناسب براي داده کاوي به گونه اي ارائه کنيم که به اندازه کافي گوي

Author: y7oozita

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *