داده کاوی و تکنیک های آن برای سیستم های تشخیص نفوذ

مقدمه:

در دنیای امروز بشدت رقابتی، اطلاعات بعنوان یکی از فاکتورهای تولیدی مهم پدیدار شده است. در نتیجه تلاش برای استخراج اطلاعات از داده ها، توجه بسیاری از افراد دخیل در صنعت اطلاعات و حوزه های وابسته را به خود جلب نموده است. حجم بالای داده های دائما در حال رشد در همه حوزه ها و نیز تنوع آنها به شکل داده متنی، اعداد، گرافیکها، نقشه ها، عکسها، تصاویر ماهواره ای و عکسهای گرفته شده با اشعه ایکس نمایانگر پیچیدگی کار تبدیل داده ها به اطلاعات است. علاوه بر این تفاوت وسیع در فرآیندهای تولید داده مثل روش آنالوگ مبتنی بر کاغذ و روش دیجیتالی مبتنی بر کامپیوتر مزید بر علت شده است. استراتژیها و فنون متعددی برای گردآوری، ذخیره، سازماندهی و مدیریت کارآمد داده های موجود و رسیدن به نتایج معنی دار بکار گرفته شده اند. بعلاوه، عملکرد مناسب ابرداده که داده ای درباره داده است در عمل عالی بنظر میرسد.

• تعریف داده کاوی:

در متون آکادميک تعاريف گوناگوني براي داده کاوي ارائه شده اند، در برخي از اين تعاريف داده کاوي در حد ابزاري که کاربران را قادر به ارتباط مستقيم با حجم عظيم داده ها مي سازد معرفي گرديده است و در برخي ديگر، تعاريف دقيق تر که در آنها به کاوش در داده ها توجه مي شود موجود است برخي از اين تعاريف عبارتند از :

• تاریخچه داده کاوی:

اخيرا داده کاوي موضوع بسياري از مقالات، کنفرانس ها و رساله هاي عملي شده است، اما اين واژه تا اوايل دهه نود مفهومي نداشت و به کار برده نمي شد. در دهه شصت و پيش از آن زمينه هايي براي ايجاد سيستم هاي جمع آوري و مديريت داده ها ايجاد شد و تحقيقاتي در اين زمينه انجام پذيرفت که منجر به معرفي و ايجاد سيستم هاي مديريت پايگاه داده ها گرديد.

§ از 1960

• ایجاد سيستم هاي جمع آوري و مديريت داده ها توسط IBM, CDC

• ذخیره داده ها روی دیسک ها و کامپیوترها

• بازیابی ایستا (محاسبه کل سود یک فروشگاه در 5 سال گذشته)

§ از 1980

• ایجاد زبان پرس و جو برای تهیه گزارشات از پایگاه داده

• شاخص گذاري و سازماندهی داده ها با DBMS هاي DB2 ، Oracle ، Sybase

• بازیابی پویا در سطح رکورد (ميزان فروش يک كالا در يک شعبه بصورت روزانه)

§ از 1990

• ايجاد پایگاه داده های چند بعدیData Warehouse و OLAP

• بازیابی پویا در چند سطح (با امكان Drill Down )

• OLAP اطلاعات کاملی از رخدادهای گذشته می دهد، ولی نمی تواند بگوید چرا اتفاق افتاده و یا پیش بینی کند.

§ در حال حاضر

• ابزارهای پیشرفته مانندSPSS/Clementine, SGI, SAS

• کشف الگوهاي جدید در پایگاه داده ها

• بازیابی پویا با نگاه پیشرو به آینده

• فروش یک کالا در ماه آینده در یک شعبه خاص چقدر است؟ و چرا؟

• کاربردهای داده کاوی:

1 - خرده فروشی

2- بانکداری

3- بیمه

4- پزشکی

مراحل فرايند کشف دانش از پايگاه داده ها :

1 - انبارش داده ها

2- انتخاب داده ها

3- تبدیل داده ها

4- کاوش در داده ها

5- تفسیر نتیجه

• عملیات های داده کاوی:

1- مدلسازي پيشگويي کننده

2- تقطيع پايگاه داده ها

3- تحليل پيوند

4- تشخيص انحراف

• داده کاوی موفق:

1- يك فرموله سازي دقيق از مسئله

2- استفاده از داده صحيح

• سلسله مراتبی از انتخاب ها:

هدف داده كاوي توليد دانش جديدي است كه كاربر بتواند بر اساس آن كار خود را جلو برد. اين كار بوسيله ساختن مدلي از جهان واقعي بر پايه داده هايي كه از منابع گوناگون بدست مي آيد صورت گيرد .

• طبقه بندی:

مسائل طبقه بندي به شناسايي خصوصياتي منجر مي شوند كه مشخص مي نمايند هر مورد به كدام گروه تعلق دارد. اين الگو، هم مي تواند براي فهم داده موجود و هم براي پيش بيني اينکه هر نمونه جديد چگونه کار مي کند استفاده شود.

• مدل ها و الگوریتم های داده کاوی:

اغلب محصولات از انواع گوناگوني از الگوريتمها كه در علم كامپيوتر يا مقالات آماري ارائه شده به همراه پياده سازي خاص آنها كه جهت رسيدن به هدف فروشنده مي باشد استفاده مي نمايند.

• درخت های انتخاب:

درخت هاي انتخاب راهي براي نمايش يك سري از قوانين كه به يك كلاس يا مقدار منجر مي شود مي باشند. براي مثال شما ممكن است بخواهيد درخواستهاي وام را برحسب ريسك اعتبار خوب يا بد طبقه بندي كنيد.

• گامهای اصلی داده کاوی جهت کشف دانش:

1- تعريف مسئله

2- ساختن پايگاه داده مربوط به داده كاوي

3- جستجوي داده

4- آماده ساختن داده براي مدل سازي

5- ساختن مدل

6- ارزيابي مدل

7- ساخت مدل و نتايج

• توصیف داده کاوی:

داده کاوی یک فرایند تحلیلی برای استخراج داده از جستجوی انجام شده در میان الگوهای سازگار و/ یا ارتباطات سیستماتیک بین متغیرها جستجو کرده و الگوهایی را استخراج می کند، سپس الگوهای شناسایی شده را به زیر مجموعه ی جدیدی از داده ها برای اعتبار بخشیدن به آنها، اعمال می کند. هدف نهایی داده کاوی پیشبینی است،

فرایند داده کاوی شامل سه مرحله است :

1- استخراج اولیه

2- ساخت مدل یا شناسایی الگو به همراه اعتبار بخشی

3- اصلاح و بکارگیری

• مراحل اصلی داده کاوی:

داده کاوی را " کشف دانش در داده ها " نیز می نامند. کشف دانش داده ها دارای مراحل مختلفی می باشد که در اینجا به صورت خلاصه آنها را بیان می کنیم :

1- استخراج اطلاعات از چندین منبع داده ( پایگاه داده)

2- یکپارچه سازی اطلاعات و حذف داده های زاید

3- قرار دادن اطلاعات اصلاح شده در انبار داده ها

4-انجام عملیات داده کاوی توسط نرم افزار های مخصوص

5-نمایش نتایج به صورت قابل فهم مانند گزارش و گراف

مقدمه و پیشینه تحقیق:

اولين ايده سيستم هاي تشخيص نفوذ در سال ۱۹۹۶ توسط پروفسور فارست [Forrest96] ارائه شد.

انواع مختلف سیستمهای تشخیص نفوذ را در شکل زیر مشاهده می کنید.

پس از آن در سال 1998 وی کار خود را کمی تعمیم داد و datasetهای نرمال و غیر نرمال را بر روی سیستم عامل لینوکس برای چندین پروسس ایجاد نمود.

از جمله محققینی که در این زمینه مقالاتی ارائه داده اند می توان به آقای wagner در سال 2002 و martin و همکارانش از دانشگاه تگزاس در سال 2005 و A.hafmeyr در سال 2007 اشاره کرد.

• تشخیص و جلوگیری از نفوذ:

تشخیص و جلوگیری از نفوذ سه وظیفه اصلی زیر را شامل می شود:

1- جمع آوری داده ها

2- آنالیز داده ها

3- عملیات پاسخ

• خطا در سیستم های تشخیص نفوذ:

از مسائل مهم در تعیین صحت عملکرد سیستم های تشخیص نفوذ، مسئله هشدارهای غلط است. این هشدارها در دو دسته هشدارهای غلط- مثبت و هشدارهای غلط- منفی قرار می گیرند. هشدار غلط- مثبت زمانی رخ می دهد که سیستم به اشتباه یک فعالیت مجاز را فعالیتی نفوذی تشخیص دهد و در مورد دیگر، هشدار غلط- منفی، سیستم قادر به تشخیص رفتار نفوذی نخواهد بود.

• نگاهی بر سیستم های تشخیص نفوذ (IDS) :

ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ (IDS)وﻇﻴﻔﻪي ﺷﻨﺎﺳﺎﻳﻲ و ﺗﺸﺨﻴﺺ ﻫﺮ ﮔﻮﻧﻪ اﺳﺘﻔﺎده ي ﻏﻴﺮﻣﺠﺎز ﺑﻪ ﺳﻴﺴﺘﻢ، ﺳﻮء اﺳﺘﻔﺎده و ﻳﺎ آﺳﻴﺐرﺳﺎﻧﻲ ﺗﻮﺳﻂ ﻫﺮ دو دﺳﺘﻪي ﻛﺎرﺑﺮان داﺧﻠﻲ و ﺧﺎرﺟﻲ را ﺑﺮ ﻋﻬﺪه دارﻧﺪ.

• تعریف و انواع روش های تشخیص نفوذ:

ﻧﻔﻮذ ﺑﻪ ﻣﺠﻤﻮﻋﻪي اﻗﺪاﻣﺎت ﻏﻴﺮﻗﺎﻧﻮﻧﻲ ﻛﻪ ﺻﺤﺖ و ﻣﺤﺮﻣﺎﻧﮕﻲ و ﻳﺎ دﺳﺘﺮﺳﻲ ﺑﻪ ﻳﻚ ﻣﻨﺒﻊ را ﺑﻪ ﺧﻄﺮ ﻣﻲاﻧﺪازد، اﻃﻼق ﻣﻲﮔﺮدد. ﻧﻔﻮذﻫﺎ ‫ﻣﻲﺗﻮاﻧﻨﺪ ﺑﻪ دو دﺳﺘﻪي داﺧﻠﻲ و ﺧﺎرﺟﻲ ﺗﻘﺴﻴﻢ ﺷﻮﻧﺪ.

1- روش ﺗﺸﺨﻴﺺ رﻓﺘﺎر ﻏﻴﺮ ﻋﺎدي

2- روش ﺗﺸﺨﻴﺺ ﺳﻮءاﺳﺘﻔﺎده ﻳﺎ ﺗﺸﺨﻴﺺ ﻣﺒﺘﻨﻲ ﺑﺮ اﻣﻀﺎء

• ﺗﻜﻨﻴﻚﻫﺎ و ﻣﻌﻴﺎرﻫﺎﻳﻲ ﻛﻪ در ﺗﺸﺨﻴﺺ رﻓﺘﺎر ﻏﻴﺮﻋﺎدي ﺑﻪ ﻛﺎر ﻣﻲروﻧﺪ ﻋﺒﺎرﺗﻨﺪ از:

1- تشخیص سطح آستانه

2- ﻣﻌﻴﺎرﻫﺎي آﻣﺎري

3- ﻣﻌﻴﺎرﻫﺎي ﻗﺎﻧﻮنﮔﺮا

4- ﺳﺎﻳﺮ ﻣﻌﻴﺎرﻫﺎ

‫1- ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻴﺰﺑﺎن ‪(HIDS)

2- ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﺒﺘﻨﻲ ﺑﺮ ﺷﺒﻜﻪ ‪(NIDS )

3- ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺗﻮزﻳﻊ ﺷﺪه (DIDS )

مزیت و معایب HIDS:

ﻣﺰﻳﺖ‪ HIDS ﺗﻮاﻧﺎﻳﻲ ﺳﺎزﻣﺎﻧﺪﻫﻲ ﺑﺴﻴﺎر ﺧﻮب ﺗﺼﻤﻴﻤﺎت ﺑﺮاي ﻫﺮ ﻣﻴﺰﺑﺎن ﻣﻨﺤﺼﺮ ﺑﻪ ﻓﺮد ﻣﻲﺑﺎﺷﺪ.

از ﻣﻌﺎﻳﺐ ‪HIDSﻫﺎ ﺳﺎزﮔﺎري ﻛﻢ ﺑﻴﻦ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ و در ﻧﺘﻴﺠﻪ ﻧﺮم اﻓﺰارﻫﺎي ﭼﻨﺪﮔﺎﻧﻪاﺳﺖ.

• معایب NIDS:

1- به دلیل جمع آوری و تجزیه و تحلیل با سرعت بالا ممکن است بسیاری از بسته ها را از دست بدهد.

2- فقط قادر است به ترافیک سگمنت های محلی گوش دهد . یعنی فقط به کامپیوتر هایی که در آن سگمنت قرار دارند گوش می کند.

3- اگر میزان داده ها زیاد باشد . داده ها به ایستگاه مدیریت مرکزی قابل برگشت هستند در نتیجه ترافیک بیشتر می شود.

4- واحد گزارش گیری می تواند تعداد زیادی از رویدادها را گزارش کند . به همین دلیل به یک نفر متخصص نیاز است تا گزارشات را تجزیه و تحلیل کرده و موارد نادرست را شناسایی کند.

5- اگر ترافیک شبکه رمز شده باشد نمی تواند الگوهای حمله را تشخیص دهد و در نتیجه دچار مشکل می شود.

• روش های برخورد و پاسخ:

1- ﭘﺎﺳﺦ ﻏﻴﺮﻓﻌﺎل در ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ:

• آدرس ‪ IPﻣﻨﺒﻊ ﺣﻤﻠﻪ

• آدرس ‪ IPﻣﻘﺼﺪ ﺣﻤﻠﻪ

• ‫ﻧﺘﻴﺠﻪي ﺣﻤﻠﻪ

• ‫اﺑﺰار ﻳﺎ ﻣﻜﺎﻧﻴﺰمﻫﺎي ﻣﻮرد اﺳﺘﻔﺎده ﺑﺮاي ﻣﻬﺎر ﺣﻤﻠﻪ

• ‫ﮔﺰارﺷﺎت و اﺗﺼﺎﻻت ﺣﻤﻠﻪﻫﺎي ﺳﻴﺴﺘﻢ و روﻳﺪادﻫﺎي ﻣﺮﺑﻮﻃﻪ

2- ﭘﺎﺳﺦ ﻓﻌﺎل در ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ:

• ﭘﺎﺳﺦ ﻓﻌﺎل ﺑﺮاﺳﺎس ﺟﻤﻊآوري اﻃﻼﻋﺎت اﺿﺎﻓﻲ

• ‫ﭘﺎﺳﺦ ﻓﻌﺎل از ﻧﻮع ﺗﻐﻴﻴﺮ ﻣﺤﻴﻂ

• ‫ﭘﺎﺳﺦ ﻓﻌﺎل از ﻧﻮع ﻋﻜﺲاﻟﻌﻤﻞ در ﻣﻘﺎﺑﻞ ﺣﻤﻠﻪ

• آشنایی با مفاهیم و روش های تشخیص نفوذ:

نفوذ عبارت است از احتمال یک تلاش برای احراز اصالت نشده برای دسترسی به اطلاعات، تغییر اطلاعات، یا درآوردن اطلاعات به صورت غیر قابل اطمینان و یا غیر قابل استفاده است.

معرفی سیستم تشخیص نفوذ و روش های آن:

1- سیستم تشخیص نفوذ

2- روش های تشخیص نفوذ

• تکنیک های سیستم تشخیص نفوذ:

1- سیستم های خبره

2- شبکه های عصبی

3- استدلال مبتنی بر مدل

4- تحلیل حالت انتقال

5- تکنیک های دیگر

• عناصر اصلی در تشخیص نفوذ:

• معماری پایه:

بزرگترین چالش در استفاده از روش های داده کاوی برای تشخیص نفوذ این است که به مقدار زیادی داده برای محاسبه ی مجموعه ی قوانین نیاز دارد. فرایند یادگیری بخشی از سیستم تشخیص نفوذ است زیرا مجموعه قوانینی که توسط ماژول های سیستم تشخیص نفوذ استفاده می شوند ممکن است برای مدت زمان طولانی استاتیک نباشند. مثل نسخه های جدید سیستم های نرم افزاری. معماری پایه ای که برای این کار در نظر گرفته شده به صورت زیر است:

• سیستم های تشخیص نفوذ مبتنی بر داده کاوی:

در کنار سیستم های خبره، تحلیلگرهای انتقال حالت و تحلیلگرهای آماری، داده کاوی یکی از مشهورترین تکنیکهای تشخیص نفوذ است. اخیرا خیلی از فروشنده های IDS از تکنیکهای مختلف داده کاوی برای تشخیص نفوذ استفاده کرده اند. ما چندین IDS پیدا کردیم که از روش های داده کاوی برای تشخیص نفوذ استفاده می کردند. همانطور که پیشتر توضیح دادیم IDS ها را می توان بر اساس استراتژی ای که برای تشخیص نفوذ استفاده می کنند، تقسیم بندی کرد. دو رده در این تقسیم بندی وجود دارد : تشخیص موارد سوء و تشخیص موارد غیرعادی.

فرآیند داده کاوی برای مدل نفوذ:

یک تحقیق که روی قلمرو تشخیص نفوذ متمرکز می شود، می گوید که چطور می توان به طور موثر رفتار عادی و غیرعادی را از داخل داده های خام بسیار پیدا کرد و چطور می توان بعد از جمع آوری داده های خام از روی شبکه به طور خودکار قوانین نفوذ را تولید کرد برای انجام دادن وظایف باید الگوریتم های داده کاوی مختلف مثل الگوریتمهای تحلیل ارتباطات، الگوریتم تحلیل ترتیب، الگوریتم های طبقه بندی و غیره را مطالعه کرد. از الگوریتمهای داده کاوی تحلیل ارتباطات می توان برای پیدا کردن ارتباطات بین رکوردهای مشخصه های شبکه استفاده کرد.

• مجموعه داده :KDDcup 99

اين مجموعه داده به عنوان يك داده‌ي استاندارد براي ارزيابي سيستم هاي تشخيص نفوذ پذيرفته شده و مورد استفاده قرارگرفته است. اين داده اعتبار خود را از سومين مسابقه بين الملي كشف دانش و داده كاوي كسب كرده است.

دارای 4 خصیصه است:

1- Connection based

2- Time based

3- Content

4- Basic

• مجموعه داده :KDDcup 99

v System Call Trace Data set دانشگاه نيو مكزيكو

v مجوعه داده Solaris

v MOAT-packet trace file دانشگاه ملبورن استراليا

v Auckland II –packet trace file دانشگاه ملبورن استراليا

v مجموعه داده Virus files دانشگاه كلمبيا

• چهار دسته حمله در :KDD99

1- DoS:

2- R2L:

3- U2R:

4- Probing:

• نتیجه گیری:

چالش های سیستم های تشخیص نفوذ فعلی:

• فقدان تکنولوژی شنود با سرعت بالا

• فقدان پشتیبانی از ip ورژن 6

• تشخیص نفوذ در شبکه های بیسیم وad-hoc به امکانات زیادی نیازدارد

• نرخ بالای تشخیص های اشتباه و همچنین نرخ بالای حملاتی که شناسایی نمی شوند

• نیاز به IDS های انطباق پذیر

• حمله به IDS

• فقدان IDS Benchmarking

• تشخیص بلادرنگ

مراجع

• [1]مهريزي، حائري، علي اصغر ، «داده‌كاوي: مفاهيم، روش‌ها و كاربردها» (1382) پايان‌نامه كارشناسي ارشد آمار اقتصادي و اجتماعي، دانشكده اقتصاد، دانشگاه علامه طباطبائي.

• [2] زعفريان، رضا و زعفريان،قاسم، «مروري بر داده‌كاوي» (1380) فصلنامه صنايع، شماره 29

• [3] شاه‌سمندي، پرستو «داده‌كاوي در مديريت ارتباط با مشتري» (1384)، مجله تدبير شماره 156.

• [4]گودرزي، حميدرضا، مترجم «داده‌كاوي چيست»، نشريه گزيده مطالب آماري، مركز آمار ايران، شماره 52.

• [5]مسعود ستوده فر،"كشف نفوذ در شبكه مبتني بر قوانين فازي تطبيق پذير"، پايان نامه كارشناسي ارشد، دانشگاه فردوسي مشهد

• [6]محمد اكبرپور،"سيستم تشخيص نفوذ فازي با تكنيك داده كاوي"، پايان نامه كارشناسي ارشد، دانشگاه فردوسي مشهد

• [7] Hand. D.J (1998): "Review of Data mining", The American statistician, 52, 112-118

• Eamonn Keogh , Stefano Lonardi , Chotirat Ann Ratanamahatana , ‘[8] Towards Parameter-Free Data Mining ‘ Semtember 2005

• Jeffery W. Seifert , Analyst in information science and Technology Policy , ‘ [9] Data Mining : An Overview December 2004

• [10] Introduction to Data Mining and Knowledge Discovery By Two Crows Corporation

• [11] David J. HAND , Data Mining: Statistics and More December 2002

• [12] Brian Caswell, Jay Beale, and Andrew R Baker, “Snort IDS and IPS Toolkit”, Syngress Publishing, 2007.

• [13] Ronald L. Krutz, “Securing SCADA Systems”, Wiley, 2005

• [14] Paul Innella and Oba McMillan, “An Introduction to Intrusion Detection Systems”, 2001.

• [15] [Hofmeyr07] "Intrusion Detection using Sequences of System Calls" By: Stephanie Forrest ,Steven

• A.Hofmeyr 2007

• [16] [Wagner02] "Mimicry Attacks on Host-Based Intrusion Detection Systems" By: David Wagner ,

• University of Colifornia , 200

• [17] Source: W.Frawley and G. Piatetsky. Knowledge Discovery I DataBases.ISSN 0738-4602

• [18] Source: D. Hand,H. Mannila,P. Smyth(2001).Principles of DatMining.MIT .Press,Cambridge

• [19] Eamonn Keogh , Stefano Lonardi , Chotirat Ann Ratanamahatana , ‘Towards Parameter-Free Data Mining ‘ Semtember 2005.

• [20] proceedings of the 7th conference on USENIX security symposium- volume 7/http://portal.acm.org

ارائه دهندگان : علی وکیلی – ابراهیم ارباب مجنی

داده کاوی و تکنیک های آن برای سیستم های تشخیص نفوذ

مطالب مشابه :

حوزه نفوذ و روابط شهرو روستا در کرمان

منطقه و روشهای تعیین آن

شناسایی حوزه نفوذ آقابابا

سه مفهوم مهم

تعریف آبخیزداری و حوزه فعالیت آن

تاثیر نفوذپذیری در پاسخدهی محیط

حوزه نفوذ تاریخی اهر و بازار آن را مراقبت کنیم

شناسایی حوزه نفوذ آقابابا

داده کاوی و تکنیک های آن برای سیستم های تشخیص نفوذ

نفوذ پذیری در محیط های پاسخ ده