پایان نامه با کلید واژگان تابع کرنل

3-2) روال داده کاوي? 16
1-3-2) بيان مسأله و فرمول بندي فرضيه? 17
2-3-2) گردآوري داده? 17
3-3-2) انجام پيش پردازش? 18
4-3-2) تشخيص و حذف داده هاي زائد? 18
5-3-2) برآورد مدل (کاوش داده)? 19
6-3-2) تعبير مدل و استخراج نتايج? 19
4-2) آشنايي با مجموعه داده KDD : 20
5-2) ماشين هاي بردار پشتيبان 23
1-5-2) دسته بندي کننده بردار پشتيباني 24
2-5-2) SVC با حاشيه انعطاف پذير 30
3-5-2) کرنل: 33
1-3-5-2) انواع کرنل ها : 35
4-5-2) مقايسه ماشين هاي بردار پشتيبان با شبکه هاي عصبي 35
3-5-2) نقاط ضعف ماشين هاي بردار پشتيبان 36
فصل سوم : روش تحقيق 39
1-3) بهينه سازي 40
2-3) مقايسه ريشه يابي با بهينه سازي: 40
3-3) انواع بهينه سازي: 41
4-3) فراابتکاري 42
5-3) انواع الگوريتم‌هاي ابتکاري 44
1-5-3) الگوريتم ژنتيک 46
1-1-5-3) مراحل انجام الگوريتم ژنتيک 47
2-1-5-3) عملگرهاي الگوريتم ژنتيک: 47
3-1-5-3) شرايط خاتمه براي الگوريتم ژنتيک 58
2-5-3) الگوريتم رقابت استعماري (ICA) 58
7-2-5-3) مراحل الگوريتم رقابت استعماري 69
3-5-3) الگوريتم بهينه سازي توده ذرات (PSO ) 71
مراحل الگوريتم PSO 72
فصل چهارم : محاسبات و يافته هاي تحقيق 73
فصل پنجم: نتيجه گيري و پيشنهادات 83
مراجع: 85
فهرست جداول
عنوان صفحه
جدول 2- 1 دسته بندي رکورد هاي انتخابي بر اساس الگوريتم هاي اعمالي 22
جدول 2-2 بررسي ويژگي هاي رکوردهاي موجود در KDD CUP 99 88
جدول 4-1 نتايج حاصل از ترکيب الگوريتم هاي فراابتکاري با ماشين هاي بردار پشتيبان چندکلاسه 76
فهرست تصاوير و نمودارها
عنوان صفحه
شکل 1-1 : دسته بندي هاي مختلف سيستم هاي تشخيص نفوذ………………………………………………………………………………………………………….. 5
شکل 1-2: HIDS ها روي هر يک از سيستم ها بصورت جداگانه نصب مي شوند…………………………………………………………………………………. 8
شکل1-3 : NIDS بايد در جايي قرار داشته باشد که ترافيک کل شبکه را مورد بررسي قرار دهد………………………………………………………… 9
شکل 2-1 : درصد کارايي الگوريتم هاي بکار رفته برروي ديتاست مورد نظر 22
شکل2-2: صفحه تفکيک کننده داده ها در SVC براي فضاي سه بعدي 24
شکل 2-3 : نحوه تفکيک ماشين بردار پشتيبان براي داده ها دو بعدي 25
شکل 2-4 : دو کلاس خطي جدايي پذير و طبقه بندي کننده SVM 26
شکل 2-5 : نمايش تاثير تابع کرنل براي نگاشت داده ها به فضاي خطي 31
شکل2-6 : نمايش خط تفکيک کننده دو کلاس توسط ماشين بردار پشتيبان غيرخطي با C=10 و Sigma=1………………………..37
شکل2-7 : نمايش خط تفکيک کننده دو کلاس توسط ماشين بردار پشتيبان غيرخطي با C=10 و Sigma=3……………………….37
شکل 3-1 : جهش باينري در کروموزوم 56
شکل 3-2 : وارونه سازي بيت 57
شکل 3-3 : تغيير ترتيب قرارگيري 57
شکل 3-4: وارون سازي 57
شكل 3-5: اجزاي اجتماعي سياسي تشکيل دهنده يک کشور 59
شكل 3-6: چگونگي شکل‌گيري امپراطوري‌هاي اوليه 61
شكل 3-7: شماي کلي حرکت مستعمرات به سمت امپرياليست 62
شكل 3-8: حرکت واقعي مستعمرات به سمت امپرياليست 63
شكل 3-9: تغيير جاي استعمارگر و مستعمره 65
شكل 3-10: کل امپراطوري، پس از تغيير موقعيت‌ها 65
شكل 3-11: شماي کلي رقابت استعماري: امپراطوري‌هاي بزرگ‌تر، با احتمال بيشتري، مستعمرات امپراطوري‌هاي ديگر را تصاحب مي‌کنند. 66
شكل 3-12: سقوط امپراطوري‌ ضعيف 69
شكل 3-13: شماي کلي الگوريتم توسعه داده شده 70
شکل 3-14: نحوه حرکت ذرات 72
شکل 3-15 : فلوچارت مربوط به روند انجام تبديل داده ها از چند کلاسه به دو کلاسه و سپس اعمال پارامترهاي دريافت شده از الگوريتم فراابتکاري……………………………………………………………………………………………………………………………………………………………………………………….75
شکل 4- 1: نمودار مربوط به روند پيدا کردن بهترين هزينه توسط الگوريتم ژنتيک 77
شکل 4- 2: نمودار مربوط به روند پيدا کردن بهترين هزينه توسط الگوريتم ICA 77
شکل 4- 3: نمودار مربوط به روند پيدا کردن بهترين هزينه توسط الگوريتم PSO 78
فصل اول : مقدمه و کليات تحقيق
1-1) تعريف سيستم تشخيص نفوذ :
سيستم تشخيص نفوذ1 (IDS) يک سيستم دفاعي است که فعاليت هاي خصمانه در يک شبکه کامپيوتري را پيدا مي کند. به عبارت ديگر مهمترين مسئله در اين سيستم ها اين است که اغلب فعاليت هايي که ممکن است امنيت سيستم را به خطر بيندازد و يا کارهايي که منجر به شروع يک خرابکاري در سيستم بشود را تشخيص مي دهد مانند شناسايي اوليه اطلاعات سيستم ها و يا فاز جمع آوري داده که منجر به آسيب رساندن به سيستم مي شود مانند عمليات اسکن پورت هاي سيستم.
يک ويژگي مهم سيستم هاي تشخيص نفوذ توانايي آن ها در نمايش فعاليت هاي غيرنرمال در شبکه مي باشد مانند تلاش کاربران براي ورود به محيط هاي غير مجاز و اعلام خطر به مدير سايت.
علاوه بر آن يک سيستم تشخيص نفوذ اين توانايي را دارد که بتواند حملاتي که از داخل يک سازمان و يا خارج از سازمان به داخل آن مي شود را تشخيص دهد.
2-1) موارد زير جزء سيستم هاي تشخيص نفوذ نمي باشد:
براي درک بهتر سيستم هاي تشخيص نفوذ بايد گفت که برخلاف لغات و اصطلاحات بکار رفته در تعاريف بالا هر چيزي را نمي توان در اين دسته بندي قرار داد. به صورت منحصر به فرد ابزار هاي زير يک سيستم تشخيص نفوذ نمي باشد:
1-2-1 ) ابزارهايي که براي نگهداري گزارش روزانه يک سيستم بکار مي رود به عنوان مثال تشخيص انواع آسيب پذيري هايي که منجر به از کار افتادن سيستم مي شود. اين ابزارها سيستم هاي مانيتور ترافيک شبکه مي باشند.
2-2-1 ) ابزارهايي که براي تشخيص آسيب پذيري هاي مربوط به باگ و عيب سيستم هاي عامل و سرويس هاي شبکه بکار مي روند براي مثال Cyber Cop Scanner
3-2-1 ) ابزارهايي که براي تشخيص نرم افزارهاي مخرب مانند ويروس ها، اسب هاي تروجان، کرم ها و بمب هاي منطقي طراحي شده اند. اگر چه اين موارد بسيار شبيه ويژگي هاي سيستم هاي تشخيص نفوذ مي باشند يا به عبارت ديگر مي توانند زمينه را براي يک نفوذ آماده کنند.
نکته : ويروس ها برنامه هايي هستند که مشابه ويروس هاي زيستي گسترش يافته و پس از وارد شدن به کامپيوتر اقدامات غير منتظره اي انجام مي دهند. براي اينکه يک برنامه به عنوان ويروس شناخته شود فقط کافيست در ساختار خود يک واحد تکثير کننده داشته باشد تا بتوانند ساير برنامه هاي ديگررا آلوده کنند اما درواقع ويروس ها در ساختار خود داراي چهار فسمت اصلي مي باشند:
واحد پنهان کننده : يک برنامه گمراه کننده که باعث مي شود ويروس بتواند خود را در کامپيوتر پنهان کند
واحد تکثير کننده : يک برنامه تکثير کننده که بوسيله آن ويروس مي تواند خود را تکثير کرده و برنامه بيشتري را آلوده کند.
واحد فعال کننده : يک کليد فعال کننده که باعث مي شود ويروس در زمان خاصي يا بعد از انجام عمل خاصي فعال شود.
واحد اجرايي :قسمت اجرايي ويروس که ممکن است فقط يک نمايش بدون خطر باشد و يا يک برنامه خطرناک که باعث وارد شدن صدمه به سيستم شود.
اسب هاي تروجان : بزرگترين تفاوت اسب هاي تروجان (تراوا) و يک ويروس اين است که اسب هاي تراوا خودشان منتشر نمي شوند.
کرم ها : کرم هاي کامپيوتري برنامه هاي هستند که بطور مستقل تکثير و اجرا و در سراسر ارتباطات شبکه منتشر ميشوند.
تفاوت اصلي بين ويروس ها و کرم ها در روش تکثير و پخش آنهاست. يک ويروس وابسته به يک فايل ميزبان يا بخش راه انداز است در حاليکه يک کرم ميتواند کاملا مستقل اجرا شود و از طريق ارتباطات شبکه منتشر گردد.
4-2-1 ) فايروال ها
5-2-1 ) سيستمهاي رمزنگاري اينترنتي مانند VPN، SSL، Kerberos و غيره[28]
3-1 ) دسته بندي حملات :
بطور کلي حملات را مي توان به چهار دسته زير تقسيم بندي کرد:
1-3-1) وارسي2 : در اين نوع از حملات شخص مهاجم براي جمع آوري اطلاعات و يا يافتن نقاط آسيب پذير سيستم شروع به جمع آوري اطلاعات از سيستم يا شبکه مي کند.
2-3-1) حمله از کار انداختن سرويس3 : در اين حمله مهاجم آنقدر منابع سيستم را با استفاده از ابزارهايي که دارد مشغول مي کند که سيستم سرويس دهنده بدليل اتمام منابع قادر به پاسخگويي به سرويس ها نمي باشد.
3-3-1) حمله کاربر به ريشه4 : در اين حمله مهاجم قصد دارد با دستيابي به نام کاربري يک کاربر مجاز در سيستم، نقاط آسيب پذير را کشف کند.
4-3-1) حمله کنترل از راه دور5 : در اين حمله مهاجم از راه دور و از طريق شبکه بسته هايي را به سيستم هاي مورد نظر ارسال ميکند تا بتواند نقاط آسيب پذير سيستم را کشف کند [5].
4-1) انواع دسته بندي سيستم هاي تشخيص نفوذ :
سيستم هاي تشخيص نفوذ را مي توان از جهات مختلف دسته بندي کرد. شکل 1-1 يک نمونه از اين دسته بندي را نشان مي دهد[29].
شکل 1-1 : دسته بندي هاي مختلف سيستم هاي تشخيص نفوذ
[29]
1-4-1) روش هاي تشخيص نفوذ
1-1-4-1) روش تشخيص امضاء6 :
روش تشخيص امضاء بر اساس داشتن الگويي از نفوذهاي شناخته شده عمل ميکند. در اين روش، مسأله تشخيص نفوذ به يک مسأله دسته بندي تبديل ميشود و سيستم تشخيص نفوذ قادر است حمله هايي را که پيشتر الگوي آنها را در يک مرحله آموزشي فرا گرفته، تشخيص دهد. مهمترين خصيصه اين روش آن است که سيستم امنيتي قادر است حمله هاي شناخته شده را با دقتي بالا و نرخ هشدار غلط خيلي کم?تشخيص دهد. منظور از هشدار غلط هشداري است که هنگام عدم وقوع حمله توسط سيستم تشخيص نفوذ اعمال ميگردد. وجود هشدار غلط حتي به ميزان کم چنانچه بار ترافيکي عادي شبکه بالا باشد، باعث وقوع هشدارهاي متعدد و خسته کننده ميگردد. به همين دليل نرخ توليد هشدار غلط توسط يک سيستم تشخيص نفوذ?بايستي تا حد امکان پايين باشد. البته ذکر اين نکته ضروري است که پايين نگه داشتن نرخ مزبور سبب?کاهش توانايي سيستم در تشخيص حملات محتمل ميگردد. به عبارتي بايستي ميان دقت تشخيص بالا و نرخ هشدار غلط پايين نوعي تعادل برقرار نمود.[6]
2-1-4-1) روش تشخيص بر اساس ناهنجاري7 :
?نوع ديگر سيستمهاي تشخيص نفوذ با نام تشخيص ناهنجاري شناخته ميشود. در اين سيستمها مدلي بر?پايه داده هاي آماري از فعاليت عادي شبکه ساخته ميشود. چنانچه در هر لحظه بار ترافيکي شبکه از?مرزي که بين فعاليتهاي عادي و غير عادي توسط سيستم مشخص شده تخطي کند، سيستم هشداري?مبني بر وقوع حمله ميدهد. بديهي است که سيستم هايي که با اين روش پياده سازي ميشوند توانايي?تشخيص حمله هاي جديد را دارند. در عين حال معمولا تعيين مرز ميان رفتار عادي و غير عادي در?سيستمهاي مزبور کار مشکلي است.
پس مي توان گفت تکنيک هاي مبتني بر ناهنجاري براين فرض بنا شده که بتوان رفتارهاي مخربانه را از رفتارهاي عادي سيستم تفکيک کرد[15]
با توجه به انواع روشهاي ذکر شده براي تشخيص نفوذ به شبکه، مشخص است که هر روش نقاط ضعف

Author: y7oozita

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *