مقاله درمورد دانلود خودي، الگوريتم، تشخيص

برخوردار است و گزينه مناسبي جهت طراحي سيستمهاي تشخيص نفوذ مبتني بر ناهنجاري ميباشد. به همين جهت در اين پژوهش از الگوريتم NSA براي ارائه يک راهکار تشخيص نفوذ در شبکههاي اقتضايي متحرک استفاده شده است. در راهکار پيشنهادي هدف دستيابي به نرخ تشخيص بالا و نيز کاهش نرخ هشدار غلط مي باشد که لازمهي هر سيستم تشخيص نفوذ کارآمدي است. هنگام استفاده ازNSA شاهد اين هستيم که مثبت غلط26 و به طور کلي هشدار غلط27 در نواحي مرزي بين منطقه نرمال و منطقه غير نرمال اتفاق مي افتد. بنابراين براي ارتقاي بهره وري مکانيسم تشخيص در اين الگوريتم ، ايجاد پوشش موثر در نواحي مرزي از اهميت زيادي برخوردار است. دو مشکل اساسي در الگوريتم هاي NS هميشه به چشم مي خورد. يکي مسئله حفره هاي پوشش داده نشده در نقاط مرزي است و ديگري شناساگرهاي نا معتبر بسياري که قادر به کشف آنومالي نيستند. اين شناساگرهاي نامعتبر در نواحي مرزي ايجاد مي شوند بنابراين براي کاهش هشدار غلط نيازمند برطرف کردن اين مشکلات هستيم. در اين پژوهش با مرتفع کردن اين مشکلات و ايجاد بهبود در عملکرد الگوريتم انتخاب منفي، سعي در ارائه راهکاري بهينه براي تشخيص نفوذ در شبکه هاي اقتضايي متحرک شده است که بتواند نرخ تشخيص را بالا و نرخ هشدار غلط را پايين بياورد .
3-5- جمع بندي
با توجه به ويژگي هاي خاص شبکه هاي اقتضايي متحرک مانند عدم وجود زيرساخت ثابت و مديريت متمرکز، تکنيک‌هاي جلوگيري از نفوذ به تنهايي براي برقراري امنيت کامل در اين شبکه‌ها به کافي نيستند. بنابراين تکنيک‌هاي تشخيص نفوذ به عنوان دومين خط دفاعي وجود حمله در شبکه را تشخيص مي دهند. به دليل محدود بودن منابع گره‌هاي شرکت کننده در شبکه‌هاي اقتضايي متحرک ، روش‌هاي مبتني بر ناهنجاري براي تشخيص نفوذ در اين نوع شبکه‌ها مناسب‌تر مي‌باشند. در اين فصل مروري بر ادبيات موضوع تشخيص نفوذ در شبکه هاي اقتضايي متحرک انجام گرفت .يکي از جديدترين و کارآمدترين روش ها براي تشخيص نفوذ در شبکه هاي اقتضايي متحرک ، سيستم ايمني مصنوعي مي باشد که در اين فصل پژوهشهاي صورت گرفته در اين زمينه مورد بررسي قرارگرفت .
در فصل بعدي راهکاري براي تشخيص نفوذ در شبکه هاي اقتضايي متحرک بر اساس روش سيستم ايمني مصنوعي و با استفاده از الگوريتم انتخاب منفي ارائه خواهد شد.

فصل چهارم:راهکار پيشنهادي

4-1- مقدمه
هر الگوريتم انتخاب منفي شامل دو فاز است : فاز آموزش شناساگرها و فاز تشخيص غيرخودي. در فاز اول، به طور تصادفي مجموعه‌اي از نمونه‌هاي عادي را بهعنوان ورودي مي‌پذيرد و مجموعه‌اي از شناسگرهاي کانديد توليد مي‌شود. سپس، شناسگرهاي کانديد منطبق‌يافته با نمونه‌هاي عادي حذف مي‌شوند، در حالي که شناسگرهاي منطبق نيافته با نمونه‌هاي عادي نگهداري مي‌شوند. در فاز دوم، شناسگرهاي ذخيره شده (توليد شده در فاز اول) براي بررسي نمونه‌هاي ورودي استفاده مي‌شوند. اگر يک نمونه ورودي با حداقل يک شناساگر منطبق شود، آن نمونه ورودي غيرعادي محسوب خواهد شد. در شکل 4-1 فازهاي آموزش و تشخيص الگوريتم انتخاب منفي( NS ) نشان داده شده است.

شکل 4-1- فاز آموزش وفاز تشخيص در الگوريتم NS (يانگلي و زنگ ، 2009).

اخيرا الگوريتمهاي زيادي از روي الگوريتم انتخاب منفي ارائه شده اند که اغلب حول مکانيسمهاي اصلي اين الگوريتم مانند نمايش شناساگرها، توليد شناساگرها و قوانين تطبيق ، توسعه داده شده اند.
نمايش شناساگر
نمايش شناساگر در الگوريتم انتخاب منفي مکانيسم پايهاي است که روش توليد شناساگرها و تطبيق را تعيين ميکند. هم اکنون دو روش نمايش براي شناساگرها وجود دارد : نمايش دودويي و نمايش حقيقي.
بالدروپ1 و همکاران (2002) نشان داد که نمايش دودويي براي کاربردهاي محيط واقعي مناسب نيست و بسيارمحدودکننده است. پس ازآن گونزالس و همکاران (2003) و گونزالس و داسکوپتا (2003) الگوريتم انتخاب منفي با نمايش حقيقي (RNSA) را ارائه دادند که در آن شناساگرها و آنتي ژنها توسط بردارهاي حقيقي و در واقع به شکل فراکرهها نمايش داده مي شوند .
توليد شناساگر
روشهاي توليد شناساگر شامل روش توليد شناساگر تصادفي2 ، روش جهش3 و روش مدل4 مي باشد که به طور معمول در الگوريتم هاي انتخاب منفي از روش تصادفي براي توليد شناساگر استفاده مي شود. در روش تصادفي شناساگر مورد نظر به طور تصادفي در يک محدوده معين توليد مي شود. در روش جهش ابتدا شناساگرها به شکل تصادفي ايجاد شده سپس شناساگرهاي غير فعال نرمال، فراجهش مي يابند و به شناساگرهاي فعال تبديل مي شوند. ون جي ان5 و همکاران(2006)، روش ايجاد شناساگرها بر اساس برخي مدل هاي از پيش تعيين شده را پيشنهاد کرده اند.
قوانين انطباق
قوانين انطباق از مهمترين اجزاي يک الگوريتم انتخاب منفي هستند. در نمايش دودويي، قوانين انطباق متعددي معرفي شده اند مانند: rcb6، r-chunks و فاصله همينگ. در نمايش حقيقي فاصله اقليدسي به عنوان قانون انطباق استفاده مي شود. انطباق به اين معناست که فاصله يک نقطه داده با يک شناساگر در يک مقدار آستانه7 معين قرار مي گيرد. گونزالس8 و همکاران(2003)، قانون انطباق را براي RNSA بر پايه فاصله اقليدسي ارائه کرد. در اين قانون انطباق، اگر فاصله اقليدسي کمتر از حد آستانه (که شعاع نرمال يا شعاع شناساگر است) باشد به اين معناست که دو بردار بر هم انطباق پيدا کرده اند. (ون9 و همکاران ، 2011) نشان داد در فضاهاي داراي ابعاد بالا فاصله اقليدسي مناسب نيست و تميز دادن بين فضاي نرمال و غير نرمال دشوارتر مي شود. به همين سبب فاصله ترتيبي کسري10 را براي محاسبه درجه انطباق بين بردارهاي حقيقي ارائه کرد.
درالگوريتم انتخاب منفي مورد نظر در اين پژوهش، نمايش حقيقي و در نتيجه قانون انطباق، فاصله اقليدسي ميباشد. حال با افزودن روشهايي ديگر به الگوريتم انتخاب منفي اصلي، سعي در بهبود کارايي آن داريم. در ادامه به معرفي اين روشها مي پردازيم.
4-1-1- شناساگر با شعاع متغير
جي آي و داسکوپتا (2004)، الگوريتم انتخاب منفي با قابليت توليد شناساگرها با شعاع متغير با نام
V-detector را ارائه دادند که در آن به طور خودکار شعاع شناساگر بر اساس نزديکترين همسايه نرمال آن محاسبه شده و به اين ترتيب شناساگرها سايز ثابت نداشته و با اندازههاي مختلف توليد مي شوند. مزاياي V-detector نسبت به RNSA با شعاع شناساگر ثابت به قرار زيراست :
به دليل استفاده از شناساگرهاي بزرگتر ، تعداد شناساگرها کمتر شده و زمان توليد شناساگرها و نيز زمان کشف نمونه غير نرمال کاهش مي يابد. همچنين فضاي ذخيره سازي کمتري نياز است.
پوشش حفرهها بهبود مي يابد و تعداد حفرهها کمتر مي شود. شناساگرهاي بزرگتر فضاي غيرنرمال وسيع تر را پوشش مي دهند و شناساگرهاي کوچکتر براي پوشش دهي نواحي حفرهها مورد استفاده قرار مي گيرند.
مزيت ديگر اين روش نسبت به ساير روشها اين است که مقدار پوشش مورد نياز را به طور خودکار در هنگام توليد شناساگرها تخمين مي زند که پوشش تخمين شده 11 نام دارد.

الف: شناساگرها با سايز ثابت ب: شناساگرها با سايزهاي مختلف
شکل 4-2- مفهوم اصلي انتخاب منفي و V-detector(جي آي و داسکوپتا ، 2004).

4-1-2- نمونههاي خودي با شعاع متغير
چنانچه گفته شد، به طور کلي الگوريتم انتخاب منفي شامل دو فاز است : فاز آموزش و فاز تشخيص. در فاز آموزش مشخصات نمونههاي خودي (نرمال) سيستم تعريف شده و سپس شناساگرهاي کانديد به طور تصادفي توليد ميشوند. چنانچه هر يک از شناساگرهاي تصادفي درون منطقه نرمال قرار بگيرد حذف ميشوند. در فاز تشخيص شناساگرهاي معتبر ايجاد شده در فاز آموزش براي تشخيص نمونه هاي ورودي غير نرمال به کار گرفته مي شوند. براي توليد شناساگرهاي با کيفيت نيازمند تعداد زيادي نمونههاي خودي هستيم تا شناساگرها را با آنها آموزش دهيم. ولي در بسياري ازکاربردهاي حقيقي، در نظر گرفتن تمام نمونههاي خودي پياده سازي را با مشکل مواجه مي کند. به منظور ايجاد و آموزش شناساگرها، ناگزير به استفاده از تنها بخشي از نمونه‌هاي خودي براي ايجاد مشخصاتي از سيستم که نشان‌دهنده رفتارهاي عادي است، مي‌باشيم. در الگوريتم انتخاب منفي مقدار حقيقي12 شعاع نمونه‌هاي خودي به اين منظور معرفي مي‌شود تا به ساير عناصر اجازه دهد تا اجزايي را که در فاصله نزديکي به اندازه شعاع مدنظر نمونه خودي از مرکز نمونه خودي13 است را به عنوان داده خودي در نظر گرفته که نشان‌دهنده تنوع‌هاي مجاز از داده‌هاي خودي است. به عبارتي عناصري که در محدوده شعاع داده خودي قرار دارد به عنوان داده خودي در نظر گرفته مي‌شود. در شکل 4-3 ايجاد مشخصه سيستم بر روي بخشي از نمونه هاي خودي در يک فضاي دو بعدي نشان داده شده است (زنگ14 و همکاران ، 2009).
همانطور که در شکل 4-3 مشاهده مي کنيد ، شعاع خودي بسيار کوچک است. بنابر اين نمونههاي خودي قادر نيستند ناحيه خودي را به طور کامل پوشش دهند و نرخ بالايي از مثبت غلط15 رخ داده است. براي پوشش کامل ناحيه خودي و کاهش نرخ مثبت خطا تعداد بسيار زيادي نمونه خودي نياز است. ولي افزايش تعداد نمونه هاي خودي موجب بالا رفتن هزينه آموزش مي شود.

شکل 4-3- ايجاد مشخصه سيستم با استفاده از نمونه هاي خودي با شعاع کوچک(زنگ و همکاران ، 2009).

راه حل ديگري که به ذهن مي رسد اين است که به جاي افزايش تعداد نمونههاي خودي، بهتر است شعاع نمونههاي خودي بزرگ باشند. اين اتفاق در شکل 4-4 نشان داده شده است. همان طور که مشاهده مي کنيد شعاع خودي بسيار بزرگ در نظر گرفته شده است. بخشي از نمونههاي خودي ناحيه غيرخودي را پوشانده اند که باعث ايجاد خطاي منفي غلط 16 شده است .

شکل 4-4- ايجاد مشخصه سيستم با استفاده از نمونه هاي خودي با شعاع بزرگ(زنگ و همکاران ، 2009).

در بسياري از الگوريتم‌هاي انتخاب منفي، شعاع نمونه‌هاي خودي ثابت در نظر گرفته شده است ولي همانطور که گفته شد اين روش نمي‌تواند مشخصات مناسبي از سيستم را ارائه دهد. شکل 4-5 نشان مي‌دهد که تعريف شعاع خودي متغير مي‌تواند پوشش خوبي از ناحيه خودي را فراهم کند و نيز مشخصات سيستم را به خوبي بيان کند. به وسيله ايجاد مشخصه سيستم به اين روش، مي‌توان شناساگرهاي بهتري ايجاد کرد و آزمايشات نشان ميدهد که شناساگرهاي توليد شده با اين روش نرخ تشخيص17 بالا و نرخ هشدار غلط18 پاييني دارند(زنگ و همکاران ، 2009).

شکل 4-5- نمونه هاي خودي با شعاع متغير(زنگ و همکاران ، 2009).

4-1-3- مکانيسم سرکوب ايمني 19
در فاز آموزش الگوريتم انتخاب منفي، شناساگرها توليد مي شوند و در فاز تشخيص، شناساگرهاي توليد شده در جهت کشف آنومالي مورد استفاده قرار مي گيرند. از آنجا که شناساگرهاي توليد شده در فاز آموزش توسط نمونههاي داده اي نرمال آموزش ديده اند و شناساگرهاي غير نرمال انتخاب شده اند، حال در فاز کشف، هر نمونه داده جديد که با اين شناساگرهاي غيرنرمال مقايسه مي شود، اگر با هريک از آنها تطابق يافت به معناي اين است که يک نمونه داده غيرنرمال است.
4-1-3-1- مشکلات الگوريتم انتخاب منفي (NSA)
هنگام استفاده ازNSA شاهد اين هستيم که مثبت غلط20 و به طور کلي هشدار غلط21 در نواحي مرزي بين منطقه نرمال و منطقه غير نرمال اتفاق مي افتد. بنابراين براي ارتقاي بهره وري مکانيسم تشخيص در اين الگوريتم، ايجاد پوشش موثر در نواحي مرزي از اهميت زيادي برخوردار است. دو مشکل اساسي در الگوريتم هاي NS هميشه به چشم مي خورد. يکي مسئله حفرههاي پوشش داده نشده در نقاط مرزي است و ديگري شناساگرهاي نا معتبر بسياري که قادر

دیدگاهتان را بنویسید