علی عبدالهی - پژوهشگر امنیت سایبری
کامیار عابدی - پژوهشگر امنیت سایبری

حملات سایبری گسترده تر شده است زیرا مهاجمین از توانایی های سیستم آسیب پذیر برای سرقت از دارایی هایمعنوی ، سود مالی یا حتی تخریب کل زیرساخت های شبکه استفاده می کنند.در بسیاری از موارد ، نقض امنیت اجتناب ناپذیر است که باعث شناسایی زود هنگام و کاهش بهترین دفاع برای بقا درحمله می شود. برای کاهش خطر نقض امنیت ، متخصصان امنیتی از تکنیک های مختلف پیشگیری و کشف استفاده میکنند. تکنیک های پیشگیری مانند استفاده از پیکربندی پیچیده و ایجاد یک سیاست امنیتی قوی سعی در ایجاددشواری در حملات دارد که شامل تکنیک های تشخیص مبتنی بر امضا یا ناهنجاری است .تهدید در راه حل هایامنیتی کلاسیک مانند پویشگر ویروس ، سیستم های تشخیص نفوذ و دیوارهای آتش به صورت "تشخیص سو استفاده"که به عنوان رویکرد "مبتنی بر امضا" نیز شناخته می شود تشخیص داده می شود. این رویکرد بوسیله مقایسه hashpayload با مجموعه ای از امضا مخرب انجام می شود.نیاز مستمر در بروز رسانی امضا ی حملات مختلف یکی از مهم ترین چالش ها در زمینه ی شناسایی ویروس و تشخیص نفوذ است. این امر به دلیل استفاده از روشهای مبتنی بر امضااست که به جای تعیین هنجارها ، ناهنجاری را تشخیص می دهد.اگرچه این رویکرد تقریبا در همه ابزارهای آنتیویروس و تشخیص نفوذ به طور گسترده ای استفاده شده است و در شناسایی حملات جدید تاثیرگذارهستند اما درمواجهه با حمله ناشناخته بی فایده اند .مشکل به روز رسانی امضا ها در آنتی ویروس ها با یک تیم پاسخگویی ۲۴ ساعتهکه پایگاه داده امضاهای مخرب را به روز می کند رفع شده شده است اما در سیستم های شناسایی نفوذ یک تلاششکست خورده است. این مشکل نه تنها به دلیل کشف روزانه تعداد زیاد آسیب پذیری است بلکه به دلیل ناشناختهبودن تعداد آسیب پذیری های پنهان قابل آشکار شدن و قابل بهره برداری است.علاوه بر این ، یک مهاجم ماهر بلافاصله بعد از مطالعه چند شکل از حملات می تواند به یک یا چند سیستم ضربه بزند.همچنین حملات رایانه ای ذاتا چند شکلی هستند ، به این صورت که یک مهاجم می تواند از آسیب پذیری یکسان بهروش های مختلف استفاده کند، در نتیجه توسعه امضای آسیب پذیری آسان نیست .بازگشت به اصول استفاده از روشهای تشخیص ناهنجاری که به جای آنچه ناهنجار است ، هنجارها را مدل می کند ، یک راه حل واضح است.در این مقاله ما یک مدل جدید شناسایی نفوذ شبکه را پیشنهاد می دهیم که ترافیک داده های هنجار شبکه را آموزشمی دهد و به دنبال رفتارهای ناهنجار خارج شده از مدل هنجار است. ما الگوریتم one-class support vector(machine (OCSVM را برای شناسایی فعالیت های ناهنجار در ترافیک شبکه اعمال می کنیم. رویکرد ما مناطقی راکه داده های عادی دارای تراکم احتمال زیاد در فضای ویژگی n بعدی هستند ، مدل سازی می کند و داده های غیر عادی را مواردی می داند که در این مناطق رخ نمی دهد. بنابراین رویکرد ما قادر به شناسایی تهدیدهای شبکه بدون استفاده از برچسب گذاری داده ها است. همچنین با استفاده از توابع هسته همراه OSVM، رویکرد ما می تواند مناطق پیچیده و غیرخطی را در فضای مشخصه که در آن داده های نرمال به احتمال زیاد در آن قرار دارد ، در مقایسه باردیاب های ناهنجاری که شکل / فرم خاصی برای کلاس نرمال دارند ، جذب کند. به عنوان مثال ، روشهایی که فرضمی کنند کلاس نرمال از یک توزیع طبیعی پیروی می کند و انحراف از این توزیع را تشخیص می دهد.ادامه مقاله به شرح زیر است: در بخش دو، ما مقدمه ای مختصر در الگوریتم OCSVM ارائه می دهیم. در بخش سه ما مجموعه داده مورد استفاده در مقاله و نحوه جمع آوری آن را توصیف می کنیم. کارهای مربوطه در بخش چهار ارائه شده است. نتایج تجربی در بخش پنج آورده شده است. نتیجه گیری و کارهای بعدی در نهایت در بخش شش بحث شده است.

یادگیری ماشین، سیستم تشخیص نفوذ، طبقه بندی، امنیت سایبری