سيستم تشخيص تهاجم مبتني بر شبکه عصبي ART رسول جليلي دانشكده مهندسي کامپيوتر دانشگاه صنعتي شريف تهران تلفن: ٦١٦٤٦١٧-٢١-٩٨+ jalili@sharif.edu مرتضي اميني دانشکده مهندسي کامپيوتر دانشگاه صنعتي شريف تهران تلفن: ٦١٦٤٦٣٢-٢١-٩٨+ m_amini@ce.sharif.edu چكيده : در اين مقاله يک سيستم تشخيص تهاجم مبتني بر شبکههاي عصبي بدون سرپرست با نام UNNID معرفي ميگردد که قادر به شناسايي و تشخيص حملات و تهاجمهاي رويداده در شبکههاي کامپيوتري ميباشد. اين سيستم امکان ا موزش تست تنظيم و به کارگيري شبکه هاي عصبي بدون سرپرست را در يک سيستم تشخيص تهاجم فراهم ميا ورد. با استفاده از اين سيستم کارايي دو نوع شبکةعصبيART با نامهاي ART-1 وART-2 در تشخيص تهاجم مورد ارزيابي قرار گرفت و با نتايج حاصله از بهکارگيري شبکة عصبي خودسازماندهSOM در اين سيستم مقايسه گرديد. نتايج حاصله نشان داد که شبکههاي ART قادر به دستهبندي درست بيش از ۹۰ درصد ترافيک شبکه به دستههاي نرمال و حمله ميباشند. از ا نجاييکه در طراحي سيستمUNNID از ترکيب روشهاي تشخيص سوءاستفاده و تشخيص ناهنجاري استفاده شده است لذا قادر است نه تنها حملات شناخته شده بلكه حملات جديد ناشناخته که نوعي ناهنجاري محسوب ميشوند را نيز شناسايي نمايد. كلمات كليدي: امنيت کامپيوتر تشخيص تهاجم شبکه عصبي بدون سرپرست شبکه.ART ١- مقدمه يكي از ابزارهاي مهم در تامين امنيت شبكه هاي كامپيوتري سيستمهاي تشخيص تهاجم يا ١ IDSها مي باشند كه با تحليل دادههاي مميزي سيستمها و يا شبكه بروز تهاجم و يا حمله را تشخيص ميدهند. سيستمهاي تشخيص تهاجم بر اساس منبع تامين كنندة دادههاي ورودي به دو دستة سيستمهاي IDS مبتني بر ميزبان و سيستمهاي IDS مبتني بر شبكه تقسيم ميگردند. بر اساس روش تحليل و تشخيص نيز اين سيستمها به دو دستة اساسي سيستمهاي تشخيص سوءاستفاده و سيستمهاي تشخيص ناهنجاري تقسيم ميشوند. سيستمهاي تشخيص سوءاستفاده با داشتن اطلاع از الگوهاي حمله به تشخيص حملات شناخته شده مي پردازند درحاليكه سيستمهاي تشخيص ناهنجاري ابتدا نمايههايي از رفتارهاي نرمال و هنجار (از سيستم شبكه و يا كاربران ا ن) را تشكيل داده سپس هرگونه تخطي و يا انحراف از اين نمايههاي نرمال را به عنوان رفتاري ناهنجار و مهاجمانه تلقي مينمايند [٣ ١٢]. يكي از روشهاي مطرح در تشخيص تهاجم بهره گيري از شبكه هاي عصبي مصنوعي مي باشد و در سالهاي اخير بسياري از كارهاي انجام شده در زمينة تشخيص تهاجم بر روي اين موضوع تمركز نمودهاند. سيستمهاي تشخيص تهاجم مبتني بر شبكههاي عصبي ابتدا بر اساس رفتارهاي نرمال و يا حمله و يا تركيبي از هر دوي ا نها ا موزش يافته Intrusion Detection System -١
سپس جهت تشخيص تهاجم به كار برده ميشوند. در IDSهاي توليد شده تاکنون هر دو نوع شبكههاي عصبي با سرپرست و شبكههاي عصبي بدون سرپرست به كار برده شدهاند. با وجود اينكه در سيستمهاي IDS شبكههاي عصبي با سرپرست از دقت بيشتري نسبت به شبكههاي عصبي بدون سرپرست برخوردار ميباشند ولي با گذشت زمان براي بهبود و ارتقاء سطح تشخيص حملات در شبكه هاي با سرپرست لازم است كه اين شبكه ها با كل داده هاي قبلي به انضمام داده هاي جديد ا موزش مجدد بيابند كه اين امر هزينة بسيار بالايي را در پي خواهد داشت لذا شبكه هاي بدون سرپرست كه همواره ميتوانند خود را با وضعيت و دادههاي جديد سازگار نمايند مورد توجه خاصي در اين كاربرد قرار گرفتهاند [٤]. شبكه عصبي ART يكي از انواع شبكه هاي عصبي است كه مي تواند به صورت بدون سرپرست ا موزش يابد و به صورت كارايي به دستهبندي و كلاستربندي دادههاي ورودي بپردازد. در اين تحقيق با توجه به قابليتهاي شبكههاي عصبي بدون سرپرست يك سيستم تشخيص تهاجم مبتني بر اين نوع از شبكههاي عصبي با نام UNNID طراحي گرديد. سيستم UNNID قابليت استفاده از انواع شبكه هاي عصبي بدون سرپرست را داشته و از انعطاف پذيري مطلوبي جهت تغيير ساختار و پارامترهاي مطرح در هر كدام از انواع اين شبكهها برخوردار است. در اين مقاله سعي بر معرفي اين سيستم و نحوة به كارگيري شبكههاي ART (ازجمله ART-1 و (ART-2 در ا ن را داريم تا بتوانيم ترافيك شبكه را به دستههاي نرمال و حمله دستهبندي نموده و رويداد حملات از قبل شناخته شده به همراه نوع ا ن و همچنين حملات ناشناختة جديد را تشخيص دهيم. به منظور ارزيابي قابليتهاي شبكههاي ART-1 و ART-2 و مقايسه با كارهاي مشابهي كه بيشتر بر روي شبكه هاي خودسازمانده SOM تمركز نموده اند از شبكة SOM نيز در سيستم UNNID بهره برده و نتايج حاصله از شبكههاي ART-1 ART-2 و SOM را با هم مقايسه نمودهايم. در ادامة مقاله در بخش ٢ كارهاي مرتبط انجام شده در زمينة استفاده از شبكههاي عصبي در سيستمهاي تشخيص تهاجم معرفي ميگردند. در بخش ٣ معماري سيستم UNNID و مو لفههاي اصلي ا ن تشريح ميگردند. در بخش ٤ به بيان مشخصات و ويژگيهاي شبكههاي عصبي ART و نحوة به كارگيري ا ن در سيستمهاي تشخيص تهاجم شبكهاي پرداخته ميشود. در بخش ٥ نتايج ا زمايشات و ارزيابيهاي انجام شده بر روي سيستم تشخيص تهاجم مبتني بر شبكههاي ART-1 ART-2 و SOM و نتيجة مقايسة ا نها با يكديگر اراي ه ميگردد و نهايت ا در بخش ٦ جمعبندي و نتيجهگيري از مقاله و سوي كارهاي ا تي پروژه بيان ميگردد. ٢- کارهاي انجام شده در تشخيص تهاجم مبتني بر شبكههاي عصبي از سال ١٩٩٠ تاكنون تحقيقات زيادي بر روي بهكارگيري شبكههاي عصبي هم در سيستمهاي تشخيص سوءاستفاده و هم در سيستمهاي تشخيص ناهنجاري به انجام رسيده است. سيستمهاي تشخيص تهاجم حاصله در طي اين سالها را ميتوان بر اساس معيارهاي مختلفي دستهبندي نمود كه اگر بخواهيم بر اساس نوع شبكة عصبي به كار برده شده در ا نها اين دستهبندي را انجام دهيم سه دسته را خواهيم داشت. دستة اول سيستمهايي هستند كه بر اساس شبكههاي عصبي پيشخور چند لايه (MLFF) و شبكههايي همچون MLP وBP ايجاد شدهاند كه به عنوان نمونه ميتوان به [١ ١٦] ٩ ٤ اشاره نمود. دستة دوم سيستمهايي هستند كه بر اساس شبكههاي عصبي بازگشتي( recurrent ) و شبكههاي عصبي تطبيقي مانند ELMAN وCMAC بنا شدهاند و با دريافت بازخورد از خروجي شبكه و يا خود سيستم تحت حفاظت همبستگي بين وروديهاي فعلي سيستم را با وروديها و حالات قبلي ا ن در خود حفظ مينمايند. نمونههايي از سيستمهاي اين دسته در [٢ ٦] ٥ اراي ه گرديده اند.
دسته سوم سيستمهاي تشخيص تهاجمي هستند كه با استفاده از شبكه هاي عصبي بدون سرپرست به دسته بندي و بصري سازي( visualization ) وروديهاي سيستم و تفكيك رفتارهاي نرمال از رفتارهاي ناهنجار (كه مي توانند حمله باشند) ميپردازند. اكثر سيستمهاي دسته سوم از شبكههاي خود سازمانده SOM استفاده نمودهاند و تنها تعداد اندكي از ا نها از روشهاي ديگر بهره بردهاند كه در ادامه به معرفي گزيدهاي از سيستمهاي اين دسته خواهيم پرداخت. در سال ١٩٩٠ Fox [٨] اولين فردي بود كه از شبكه SOM براي مشخص نمودن حالت نرمال ماشين و سپس تشخيص سوء استفادههاي تاثيرگذار بر پردازهها و منابع سيستم استفاده نمود. Cannady در [١٧] نيز از شبكههايSOM چندگانه براي تشخيص تهاجم استفاده نموده است. در اين سيستم پردازش و تحليل ترافيك شبكه بر عهدة مجموعهاي از نقشه هاي كوهنن ميباشد كه هر نقشه موظف است بستههاي مربوط به يك پروتكل خاص شبكه را تحليل نمايد. Gardian در [١٠] از SOM براي بصريسازي فعاليت شبكه استفاده نمود و بدين ترتيب راه جديدي را براي مديران شبكه جهت كاوش پيگيري و تحليل مهاجمان با تكيه بر فاكتورهاي انساني فراهم نموده است. Jrapummin در [١١] نيز متدلوژي ديگري را جهت بهرهگيري از شبكههاي عصبي تركيبي پيشنهاد نموده كه در ا ن از شبكه SOM براي بصريسازي تهاجمات شبكه و از شبکه RPROP براي دسته بندي تهاجمات استفاده ميگردد. تعداد كثيري از تحقيقات جديد انجام شده در دسته سوم سعي نمودهاند كه چند شبكه عصبي بدون سرپرست را بهطور توام در يك سيستم تشخيص تهاجم و در ساختاري سلسله مراتبي به کار برند تا بدينترتيب به دقت بيشتر و نتايج بهتري دست يابند. از اين جمله در [٢٠] يك سيستم تشخيص تهاجم سلسله مراتبي به نام HIDE معرفي شده است كه قادر است با پيش پردازش ا ماري و دسته بندي مبتني بر شبكه عصبي به تشخيص حملات شبكه اي بپردازد. با استفاده از اين سيستم پنج نوع مختلف شبكههاي عصبي (به عنوان دسته بندي كننده) در تشخيص تهاجم به كاربرده شده و كارايي ا نها در تشخيص تهاجم با يكديگر مقايسه گرديده است. در [١٥] نيز از شبكهSOM به صورت سلسله مراتبي در ساختاري دولايه براي تشخيص تهاجم استفاده شده است. تاكيد اين سيستم بيشتر برروي در نظر گرفتن زمان و توسعه تدريجي سلسله مراتب در ا ن ميباشد. سيستمي كه در [١٣] تحت عنوان NSOM توليد گرديده نيز از يك شبكه SOM ساختيافته براي دستهبندي بلادرنگ دادههاي يك شبكه اترنت و تشخيص حملات انكار سرويس (DoS) استفاده مينمايد. بررسي كارهاي انجام شده در اين زمينه نشان ميدهد كه تنها كارهاي انجام شده در [١٨] و[ ٢٠ ] از نوعي شبكه ART با سرپرست به نام Fuzzy ARTMAP استفاده نموده و ا نرا مورد ارزيابي قرار دادهاند و در هيچ يك از كارهاي ديگر با وجود تمام قابليتها و مزاياي شبكههايART در مقابل SOM استفاده چنداني از اين نوع شبكه عصبي به عمل نيامده است. تنها كاري كه در ا ن از شبكههاي ART بدون سرپرست (شبكه (ART-2 ا ن هم به صورت غير مستقيم در تشخيص تهاجم استفاده شده مقاله مربوط به پايان نامه كارشناسي ارشدي است كه در [١٤] اراي ه گرديده است. در سيستم اراي ه شده در [١٤] از متدهاي ا ماري براي تشخيص ناهنجاري استفاده ميشود. در اين سيستم نمايه هر كاربر فعال با نمايههاي تاريخي نرمال كاربران مقايسه ميگردد و در صورتي كه با نمايه نرمال مربوط به همان كاربر تطابق داشته باشد کاربري مجاز و نرمال تشخيص داده ميشود و در غير اينصورت ناهنجار تلقي ميگردد. در اين سيستم بهمنظور بهبود تشخيص هويت كاربران از شبكه ART-2 براي دسته بندي كاربران براساس نمايههاي مربوط به فرامين صادره از سوي ا نها استفاده شده است كه بدين شكل نرمال بودن و يا نبودن كاربر با تطابق يا عدم تطابق ا ن با كلاستر مربوط به نماية ا ن كاربر تعيين ميگردد. ٣- معماري سيستم UNNID معماري و مولفههاي اصلي سيستم UNNID در شكل ١ نشان داده شده است. اين سيستم به گونهاي طراحي شده
DataProvider Setting UI PreProcessor Setting UI Data Provider PreProcessor Live Network Packet Sniffer Network Packet (tcpdump format) Feature Extractor Binary Convertor Input Data Provider Off-line Audit Data Record Off-line Net Traffic Provider Audited Traffic Record Normalizer IDS Evaluator Expected Output of Test Data UNNID Main UI Responder (tcpdump or kdd-cup format) Manager and Controller Neural Net Based Analyzer Neural Net Input Vector Log Manager Weights & Train Neural Net IDS Log File Report Generator Clustering Map File Analyzer Output Test Neural Net (Normal / Attack) Logged Output of IDS Alarm Generator Apply Neural Net Evaluator Responder Neural Net Setting UI Setting UI Setting UI شكل ١. معماري سيستم تشخيص تهاجم مبتني بر شبكههاي عصبي بدون سرپرست UNNID است كه اولا امكان ا موزش تست تنظيم و ارزيابي شبكههاي عصبي بدون سرپرست مختلف را براي تشخيص تهاجم فراهم ا ورد و ثانيا امكان بهكارگيري شبكه هاي عصبي بدون سرپرست را جهت تحليل ترافيك شبكه هم به صورت برخط و بلادرنگ و هم به صورت برون از خط و غير بلادرنگ با دسته بندي ترافيك شبكه به دو دسته نرمال و حمله فراهم نمايد. سيستمUNNID ميتواند در چهار مد مختلف مورد استفاده قرار گيرد: ١) مد ا موزش برون از خط ٢) مد تست برون از خط ٣) به عنوان يكIDS واقعي در حالت برون از خط و ٤) به عنوان يكIDS واقعي در حالت برخط. در اين مقاله سعي بر استفاده از سيستم UNNID براي ا موزش و تست و تنظيم شبكههاي عصبي ART و SOM و بررسي قابليتهاي شبكههاي ART را داريم لذا در ادامه به بيان جزي يات عملكرد هر يك از مولفههاي فوق در راستاي هدفمان خواهيم پرداخت. ٣-١- Provider Data (فراهم كنندة دادهها): اين مولفه خود داراي دو زير مولفه ديگر ميباشد: يكي Sniffer و ديگريProvider.Off-line Net Traffic زير مولفه Sniffer در مد برخط استفاده شده و ميتواند با گوش دادن به يك شبكه فعال بستههاي شبكه را (با فرمت (tcpdump جمعا وري و در صورت لزوم فيلتر نمايد. زير مولفه Off-line Net Traffic Provider نيز وظيفه مديريت فايلهاي مميزي (با فرمت tcpdump و يا (kddcup را برعهده دارد. در اين بررسي عصبي از مجموعه دادههاي 99 KDD Cup s كه داراي فرمت kddcup ميباشند جهت ا موزش و تست شبكههاي استفاده شده است. دادههاي KDD Cup s 99 يك مجموعه دادة استاندارد براي ارزيابي سيستمهاي تشخيص تهاجم ميباشد كه در سال ١٩٩٩ فراهم گرديده است. اين مجموعه شامل اطلاعات اتصالات شبكه محلي نيروي هوايي ا مريكا به انضمام انواع گستردهاي از تهاجمات شبيهسازي شده ميباشد. براي هر اتصال در اين مجموعه دادهها ۴۱ مشخصه تعريف گرديده که اين مشخصهها به ۴ دستة مشخصههاي اوليه TCP مشخصههاي محتوايي مشخصههاي ترافيك مبتني بر زمان و مشخصههاي ترافيك مبتني بر ميزبان تقسيم بندي ميشوند [١٥]. هر اتصال داراي برچسبي است كه مشخص ميكند اتصال مذكور نرمال است و يا يكي از انواع حملات. اين مجموعه دادهها شامل ٢٤ نوع حمله شناخته شده مختلف در دادههاي ا موزشي و همچنين ١٤ نوع حمله ناشناخته اضافي ديگر است كه فقط در دادههاي تست گنجانده شدهاند. كل اين حملات به ٤ دسته زير قابل تقسيم ميباشند[ ٢١ ]: حملات انكار سرويس :(DoS) كه در ا ن درخواستهاي مشروع كاربر توسط سيستم برا ورده نميشوند. حملات از راه دور :(R2L) كه در ا ن از يك ماشين راه دور دسترسيهاي غيرمعتبر به يك سيستم محلي
صورت ميپذيرد. حملات كاربر به ريشه :(U2R) كه در ا ن با تصاحب مجوزهاي كاربر ريشه دسترسيهاي غير معتبر و غير مجاز به سيستم صورت ميپذيرد. حملات پويش( probe ): كه شامل بررسي و پويش بر روي سيستم براي يافتن راههاي نفوذ به ا ن ميباشد. براي ا موزش سيستم UNNID ١٠٠٠٠ اتصال از مجموعه دادههاي ا موزشي KDD Cup s 99 به صورت تصادفي به گونهاي انتخاب شد كه شامل ٢٢ نوع حمله شناخته شده باشد و براي تست نيز ٥٠٠٠ اتصال از ميان مجموعه دادههاي تست به گونهاي انتخاب شد كه شامل ٢٢ نوع حمله موجود در مجموعه دادههاي ا موزشي به انضمام ١٤ نوع حمله جديد ناشناخته باشد. ٣-٢- PreProcessor (پيشپردازنده): وظيفة پيشپردازنده دريافت دادههاي مربوط به ترافيك شبكه از مولفة Data Provider استخراج مشخصه هاي مناسب و تبديل مشخصه ها به فرمت عددي مناسب جهت ورود به سنسورهاي ورودي شبكة عصبي در مولفة Neural Net Based Analyzer ميباشد. دادههاي ورودي به شبكة عصبي بر حسب نوع شبكة عصبي ميتوانند به يكي از دو شكل باينري و يا پيوسته باشند. لذا در پيشپردازنده پس از تبديل مشخصهها از فرمت متني به فرمت عددي مسالة اصلي تبديل دادهها به فرم باينري و يا به فرم پيوستة نرمال شده ميباشد. براي نرمال سازي مشخصه ها ابتدا يك بررسي ا ماري بر روي هر يك از مشخصه ها بر اساس داده هاي موجود از KDD Cup s 99 صورت پذيرفت و يك مقدار ماكزيمم براي مقادير هر مشخصه تعيين گرديد. سپس بر اساس فرمول سادة زير اين نرمال سازي در بازة[ 1 0], انجام پذيرفت. (فرمول ١) If ( f > MaxF ) Otherwise Nf=1; Nf = ( f / MaxF) ) مقدار نرمال شده يا محدود شدهF Nf: ماكزيمم مقدار قابل قبولF MaxF: مقدار مشخصه :f مشخصه :F) جهت تبديل مشخصه ها به فرم باينري در صورتيكه بازة تغييرات مقادير مشخصه موردنظر كم و نوع ا ن نيز عدد صحيح باشد اين تبديل مستقيم ا از دهدهي به باينري انجام ميپذيرد. در غير اينصورت بازة [0,MaxF] بر اساس ميزان پراكندگي مقادير مشخصه F به زير بازههايي تقسيم ميگردد و به هركدام از اين زيربازهها يك كد باينري اختصاص مييابد. سپس مقدار مشخصه F در هر زيربازهاي كه قرار گيرد كد باينري ا ن زيربازه به ا ن نسبت داده ميشود. قاعدت ا هرچه اين زيربازهها كوچكتر و تعدادشان بيشتر گردد دقت سيستم نيز افزايش خواهد يافت. ولي اين افزايش دقت افزايش تعداد ورودي باينري شبكة عصبي را به دنبال دارد كه اين مساله نيز منجر به افزايش زمان ا موزش و همچنين زمان پاسخ شبكه ميگردد. شايد بهترين راه تقسيم اين بازه به زيربازههاي كوچكتر اين باشد كه در قسمتهايي كه تراكم مقادير بيشتر است از تفكيك پذيري بالاتر و زيربازه هاي كوچكتر استفاده شود و دربقية قسمتها از تفكيكپذيري پايينتر و زيربازههاي بزرگتر استفاده گردد. با فرض نرمال بودن توزيع مقادير يك مشخصه ميتوان محل تجمع بيشتر مقادير را در محدودة Fm+δ] [Fm-δ, (كه Fm ميانگين مقادير مشخصه F وδ انحراف معيار ا ن ميباشد) در نظر گرفت. مولفة پيشپردازنده علاوه بر امكان پيشپردازش دادههاي kddcup امكان پيشپردازش سرا يند بستههاي با فرمت tcpdump و همچنين تبديل بستههاي با فرمت tcpdump به اتصالات شبكه با فرمت kddcup را نيز دارا ميباشد كه در اين كار ما از اين قابليتها استفاده اي ننموده ايم. ٣-٣- Analyzer Neural Net Based (تحليلگر مبتني بر شبكة عصبي): اين مو لفه مهمترين مو لفة سيستم UNNID ميباشد كه وظيفة تحليل و تشخيص تهاجم را با استفاده از شبكة عصبي در زمان كاربرد به عهده دارد. اين
مو لفه امكان ا موزش شبكههاي عصبي بدون سرپرست وتست ا نها را قبل از بكارگيري نيز فراهم مينمايد. دادههاي ورودي به اين مو لفه از مو لفة پيشپردازنده به صورت بردارهاي عددي فراهم و خروجي حاصله نيز به مو لفة Responder ارسال مي گردد. لازم به ذكر است كه شبكه هاي عصبي بدون سرپرست با توجه به شباهت بين داده هاي ورودي مي توانند ا نها را دسته بندي نمايند كه در اين كاربرد نيز هدف ما استفاده از اين نوع شبكه هاي عصبي در دسته بندي ترافيك شبكه به دو دستة نرمال و تهاجمي ميباشد. يكي از انواع شبكههاي عصبي بدون سرپرست شبكههاي عصبي ART ميباشد كه در بخش ٤ به تشريح بيشتر خصوصيات اين نوع شبكههاي عصبي و نحوة به كارگيري ا نها در تشخيص تهاجم خواهيم پرداخت. در اين مقاله جهت ارزيابي كارايي شبكة ART در مقايسه با شبكة خودسازمانده SOM كه در بسياري از كارهاي قبلي از ا ن استفاده شده است شبكةSOM نيز در تحليلگر سيستم استفاده شده و كارايي ا ن مورد ارزيابي قرار گرفته است. ٣-٤- Responder (پاسخده): وظيفة اين مو لفه پاسخدهي سيستم تشخيص تهاجم بر اساس خروجي دريافتي از مو لفة تحليلگر سيستم ميباشد. براي اين منظور اين مو لفه امكاناتي جهت رويدادنگاري توليد هشدار به گونههاي مختلف (از جمله ارسال e-mail نمايش پيغام بر روي صفحه و...) و همچنين توليد گزارشهاي مختلف را در خود دارا مي باشد. ٣-٥- Evaluator IDS (ارزياب سيستم تشخيص تهاجم): اين مو لفه جهت ارزيابي عملكرد سيستم تشخيص تهاجم در طي تست ا ن در اين معماري گنجانده شده است. ارزياب سيستم با مقايسة خروجي حاصله از سيستم در زمان تست با خروجي مورد انتظار ا ن (كه در مجموعه دادههاي ا موزشي مشخص گرديده است) معيارهاي ارزيابي زير را استخراج مي نمايد: درصد تشخيص صحيح نوع (تفكيك صحيح ترافيك نرمال از حمله و تشخيص صحيح نوع حملة شناخته شده در موارد رويداد ا ن) كه به اختصار ا ن را ETTR ناميم درصد تشخيص درست (تنها تفكيك صحيح ترافيك نرمال از حمله بدون در نظر گرفتن نوع حملة تشخيص داده شده) كه به اختصار ا ن را TR گوييم. درصد خطاي مثبت غلط (تشخيص حمله درحاليكه حملهاي روي نداده) كه به اختصار ا ن را FPR گوييم درصد خطاي منفي غلط (عدم تشخيص حمله در زمان بروز حمله) كه به اختصار ا ن را FNR گوييم. ٤- دسته بندي كننده مبتني بر شبکة ART شبكه عصبي ART در سال ١٩٧٦ توسط Stephan Grossberg بنا نهاده شد. بعد از ا ن اشكال و مدلهاي مختلفي از شبكه ART هم از نوع با سرپرست و هم از نوع بدون سرپرست ابداع و ايجاد شد. از انواع شبكههاي ART بدون سرپرست ميتوان به ART-1 ART-3 ART-2 و Fuzzy ART اشاره نمود [١٩] و از انواع شبکههاي ART با سرپرست که پسوند "MAP" نيز معمو لا دارند ميتوان به Fuzzy ARTMAP ARTMAP و Gussian ARTMAP اشاره نمود [۱۹]. تمرکز اصلي اين مقاله بر روي شبكههاي ART بدون سرپرست ميباشد كه قبل از انواع با سرپرست ا ن توسعه يافتهاند. در شبكههاي ART بدون سرپرست الگوهاي ورودي ممكن است چندين بار و با ترتيب مختلف به شبكه داده شوند. در هربار كه يك الگو به عنوان ورودي به شبكه داده ميشود يك واحد كلاستر مناسب انتخاب و وزنهاي مربوط به ا ن تغيير مي يابند. در اين شبكهها انتخاب واحد برنده بر اساس تفاضل مطلق بردارها (كه در شبكههاي SOM مطرح است) نبوده بلكه شباهت نسبي بردار ورودي با بردار وزن يك واحد كلاستر معيار انتخاب واحد برنده ميباشد [٧]. شبكههاي ART به گونهاي طراحي شدهاند كه به كاربر اين امکان را ميدهند که درجة شباهت الگوهايي كه در يك
.١.٢ كلاستر قرار ميگيرند را با تنظيم پارمتر vigilance كنترل نمايد. همچنين در اين شبكهها نيازي نيست كه تعداد كلاسترها از قبل تعيين شده باشد و مي توان در ا نها از پارمترvigilance براي تعيين تعداد مناسب كلاسترها استفاده نمود. چرا كه هر چه اين پارامتر افزايش يابد تعداد كلاسترها نيز افزايش و هر چه كاهش يابد تعداد كلاسترها نيز كاهش مييابد. قاعدت ا در اين كاربرد تعداد كلاسترها بايد به اندازهاي تعيين گردد كه انواع حملاتي كه تا حدودي شبيه به هم هستند در يك كلاستر يكسان قرار نگيرند. علاوه بر خصوصيت اساسي فوق شبكههاي ART دو خصوصيت مهم ديگر را نيز دارا ميباشند كه عبارتند از: است. پايداري( stability ): يعني عدم نوسان يك الگو در مراحل مختلف ا موزش بين كلاسترهاي مختلف. انعطافپذيري (plasticity) : يعني توانايي شبكه در يادگيري الگوهاي جديد در هر يك از مراحل يادگيري. پايداري و انعطاف پذيري شبكه هاي ART و قابليت ا نها در دستهبندي الگوهاي ورودي با ميزان شباهت تحت كنترل كاربر ا نها را مناسبتر از ساير شبكههاي عصبي بدون سرپرست براي استفاده در سيستمهاي تشخيص تهاجم نموده براي اين منظور در اين مقاله دو نوع از شبكههاي ART با نامهايART-1 و ART-2 به كار برده شدهاند كه شبكه ART-1 اولين شبكة مطرح در مجموعه شبكههاي ART بوده و تنها ورودي باينري ميپذيرد و شبكه ART-2 نيز شبكهاي است مشابه ART-1 كه بردارهاي با مقادير پيوسته را نيز ميپذيرد. در سيستم UNNID بردار ورودي مناسب (بردار باينري براي ART-1 و بردار با مقادير پيوسته نرمال شده براي Neural Net Based فراهم شده و به شبكة عصبي در مولفه (PreProcessor) توسط مولفه پيش پردازنده (ART-2 Analyzer داده ميشود. در فاز ا موزش ابتدا دادههاي ورودي بدون توجه به ماهيت ا نها (نرمال و يا حمله) توسط شبكه ART دستهبندي ميگردند. بعد از اتمام ا موزش سيستم بايد واحدهاي مربوط به هر يك از كلاسترها را مشخص و با استفاده از برچسب دادههاي ا موزشي نام مناسبي را به ا نها اختصاص دهد. نام هر كلاستر معادل نام واحدهايش بوده و نام هر واحد معادل است با نوع اكثريت دادههايي که با اعمال ا نها به ورودي سيستم واحد مورد نظر به عنوان واحد برنده انتخاب گرديده است. نتيجه اين كار ايجاد يك نقشه كلاستربندي Map) (Clustering است. دراين نقشه تعدادي از واحدها با يكديگر تشكيل كلاستري را ميدهند كه بيانگر ترافيك نرمال است. تعدادي ديگر با يكديگر تشكيل كلاستري را ميدهند كه بيانگر يكي از انواع حملات شناخته شده ميباشد و بقيه نيز تشكيل كلاستري را ميدهند كه نه بيانگر ترافيك نرمال ميباشد و نه نشانگر ترافيك حملات شناخته شده و لذا بيانگر ترافيك حملات جديد مي باشد. باتوجه به توضيح فوق براي ا موزش تحليلگر مبتني بر شبكه عصبي نياز داريم كه از هر دو ترافيك نرمال و حمله در اين سيستم استفاده نماييم تا بوسيلة ا ن توانايي تشخيص انواع حملات شناخته شده و همچنين حملات جديد ر يو داده در شبكه را داشته باشيم. بنابراين سيستم UNNID دو روش تشخيص سوء استفاده و تشخيص ناهنجاري را با بهكارگيري شبكههاي عصبي بدون سرپرست با يکديگر تركيب نموده است و لذا ميتواند مزايا و فوايد هر دو روش را در تشخيص حملات شناخته شده و حملات جديد درخود دارا باشد. ٥- نتايج ا زمايشات پيادهسازي سيستم UNNID تحت سيستم عامل RedHat Linux 9.0 و با استفاده از زبان ++C انجام پذيرفته است. براي ارزيابي شبكههاي ART وSOM با استفاده از اين سيستم ابتدا مقادير پارامترهاي مهم شبكههاي عصبي (ازجمله تعداد واحدهاي لاية خروجي تعداد دفعات تكرار بردارهاي ورودي در ا موزش شبكه و پارامتر vigilance در شبكههاي (ART تعيين گرديد و سپس قابليتهاي اين شبكهها از جنبههاي مختلف با يكديگر مقايسه شدند. با بررسيهاي انجام
شده تعداد واحدهاي لاية خروجي در شبكة ART-1 برابر با ٢٥٠٠ در ART-2 برابر با ٥٠٠ و در SOM برابر با ٢٥٠٠ عدد انتخاب گرديد. تعداد دفعات تكرار بردارهاي ورودي در مرحلة ا موزش نيز براي هر سه شبكه ١٠٠ بار تعيين گرديد. لازم به ذكر است كه براي تعيين مقادير فوق در شبكهART-1 مقدار پارامتر vigilance برابر ٠/٩ و در شبكة ART-2 مقدار ا ن برابر ٠/٩٩٩ در نظر گرفته شد. در شبکة SOM نيز واحدهای لاية خروجی به صورت دوبعدی با همسايگی مربعی در نظر گرفته شدند و برای ضريب يادگيری و شعاع همسايگی نيز به ترتيب مقادير ٨/۰ و ۷ در نظر گرفته شد. براي تعيين مقدار مناسب پارامتر vigilance و همچنين بررسي تاثير ا ن در كارايي شبكههاي ART در تشخيص تهاجم سيستم موردنظر با مقادير vigilance مختلف ا موزش داده شد و هر يك از معيارهاي FNR FPR TR ETTR در ا نها مورد محاسبه قرار گرفت كه نتايج حاصله از اين ا زمايشات در شكل ٢ ا مده است. تاثير پارامتر vigilance بر کارايي تشخيص ART1 تاثير پارامتر vigilance بر کارايي تشخيص ART2 100 100 Detection perc 80 60 40 20 ETTR TR FPR FNR Detection perc 80 60 40 20 ETTR TR FPR FNR 0 0.99000.99500.99900.99950.99990.99995.99999 0.75 0.8 0.85 0.9 0.95 0.99 Vigilance v Vigilance v شکل ۲. ارزيابی کارايی شبکههاي ART در تشخيص تهاجم و تاثير پارامتر vigilance بركارايي ا نها بررسي نمودارهاي شكل ٢ نشان ميدهدكه بالاترين كارايي در تشخيص ترافيك نرمال از حمله در شبكة ART-1 با مقدار ٠/٩ براي پارامتر vigilance و در شبكةART-2 با مقدار ٠/٩٩٩٥ براي اين پارامتر حاصل گرديده است. پس از تعيين مقادير مناسب براي پارامترها كارايي شبكه هايART با نتايج حاصله از بكارگيري شبكه هاي SOM در سيستم UNNID مقايسه گرديد كه نتايج ا ن به طور خلاصه در جدول ١ نشان داده شده است. براي هر يك از شبكههاي ART-1 ART-2 و SOM ميزان تشخيص صحيح هر يك از ٤ دسته حملات U2R DoS R2L و Probe نيز مورد محاسبه قرار گرفت و با بهترين نتيجهاي كه در [١٨] با استفاده از روشهاي يادگيري ماشين جدول ۱. کارايی شبکههای ART با پارامترهای جدول ۲. درصد تشخيص شبکههایART وSOM به تفکيک مناسب در مقايسه با کارايی شبکة.SOM نوع حمله در مقايسه با بهترين نتيجة حاصله در [۱۸]. DoS R2L U2R Probe UNNID ART-1 100 88.69 17.41 99.48 UNNID ART-2 96.17 36.31 10.71 96.88 UNNID SOM 99.04 53.57 12.50 93.23 Best result of [18] 97.3 9.6 29.28 88.7 ETTR TR FPR FNR UNNID ART-1 89.26 93.14 1.64 5.22 UNNID ART-2 84.88 90.40 0.74 8.86 UNNID SOM 87.64 92.64 0.96 6.40
حاصل گرديده مقايسه گرديد. نتايج نشان ميدهد كه هر دوشبكة ART-1 وART-2 قادرند به خوبي حملات DoS و Probe را تشخيص دهند ولي شبكةART-2 قادر نيست به خوبي حملاتR2L را تشخيص دهد و در مورد حملات U2R نيز توانايي اين دوشبكه همانند همة روشهاي تشخيص تهاجم شبكهاي چندان قابل قبول نيست. مقايسة بين شبكههاي ART-1 ART-2 و SOM نشان ميدهد كه شبكةART-1 در بين سه شبكة فوق بالاترين كارايي را در تشخيص تهاجم داراميباشد ولي با در نظر گرفتن زمان پاسخ شبكةART-2 ٨ تا ١٠ برابر سريعتر از شبكههايART-1 و SOM ميباشد كه اين ويژگي ا ن را براي سيستمهاي IDS بلادرنگ بسيار مناسب مينمايد. ٦- نتيجه گيري در اين مقاله يك سيستم تشخيص تهاجم مبتني بر شبكههاي عصبي بدونسرپرست با نام UNNID معرفي گرديد. با معرفي معماري و نحوة عملكرد مو لفههاي اين سيستم توانايي و انعطاف پذيري اين سيستم در بكارگيري انواع شبكههاي عصبي بدون سرپرست تشريح گرديد. جهت ارزيابي كارايي شبكههاي عصبي ART در تشخيص تهاجم از سيستمUNNID براي تنظيم ا موزش و تست دو نوع معروف از شبكههاي ART با نامهاي ART-1 و ART-2 بهره گرفته شد و نتايج حاصل از ارزيابي ا نها با نتايج حاصل از بكارگيري شبكة خودسازمانده SOM مقايسه گرديد. نتايج نشان داد كه شبكةART-1 در بيش از ٩٣ درصد موارد و ART-2 در بيش از ٩٠ درصد موارد قادر به تفكيك صحيح ترافيك نرمال از حمله ميباشند كه در مقايسه باART-1 SOM كارايي بيشتر وART-2 كارايي كمتري را از خود نشان ميدهند. ولي ا نچه كه موجب برتري ART-2 نسبت بهART-1 و SOM ميگردد سرعت بسيار بالا و زمان پاسخ بسيار كم ا ن است كه همين ويژگي ا ن را براي IDSهاي بلادرنگ در شبكههاي كامپيوتري با ترافيك بالا مناسب مينمايد. بكارگيري شبكههاي عصبي بدون سرپرست در تشخيص تهاجم مزاياي زيادي نسبت به نوع باسرپرست ا ن دارد كه دليل اصلي ا ن قابليت اين نوع شبكهها در يادگيري مستمر و تطابق با دادههاي جديد بدون نياز به ا موزش مجدد (با كل دادههاي قديم و جديد) ميباشد. لذا با تجربة حاصله از اين كار در مرحلة بعد از تحقيقمان قصد داريم از يك دستهبندي كنندة چندگانه كه تركيبي از چند شبكة عصبي بدون سرپرست ميباشد به گونهاي استفاده نماييم كه هر يك از ا نها با توجه به قابليتشان بخشي از ترافيك شبكه را جهت كشف حملات مورد تحليل و دستهبندي قرار دهند. ٧- سپاسگزاري در اينجا لازم است از جناب ا قاي دكتر باقري از دانشگاه صنعتي شريف كه ما را در مراحل مختلف اين پروژه ياري نمودهاند و همچنين بانك رفاه و مركز تحقيقات مخابرات ايران كه بخشي از پشتيباني مالي اين پروژه را تقبل نمودهاند تشكر و قدرداني نماييم. ٨- مراجع [1] Bonifacio, J.M., "Neural Networks Applied in Intrusion Detection Systems", Neural Networks Proceedings, IEEE World Congress on Computational Intelligence, vol. 1, pp. 205-210, 1998 [2] Cannady, J., "Applying CMAC-based Online Learning to Intrusion Detection", Neural Networks, Proceeding of the IEEE-INNS-ENNS International Joint Conference, vol. 5, pp. 405-410, 2000 [3] Coolen, R. and Luiijf, H.A.M., "Intrusion Detection: Generics and State-of-the-Art", Research and Technology Organization (RTO) Technical Report 49, 2002 [4] Cannady, J., "Artificial Neural Networks for Misuse Detection", In Proceedings of National Information Systems Security Conference, 1998
[5] Debar, H. and Dorizzi, B., "An Application of Recurrent Network to An Intrusion Detection System", In Proceeding of the International Joint Conference on Neural Networks, pp. 478-483, 1992 [6] Debar, H., Becker, M. and Siboni, D., "A Neural Network Component for An Intrusion Detection System", IEEE Computer Society Symposium, pp. 240-250, 1992 [7] Fausett, L., "Fundamentals of Neural Networks", Prentice-Hall, 1994 [8] Fox Kevin, L., Henning Rhonda, R. and Reed Jonathan, H., "A Neural Network Approach Towards Intrusion Detection", In Proceeding of 13th National Computer Security Conference, 1990 [9] Ghosh, A. K. and Schwartzbard, A., "A Study in Using Neural Network For Anomaly and misuse Detection", In Proceedings of the 8th USENIX Security Symposium, 1999 [10] Girardin, L., "An Eye on Network Intruder-Administrator Shootouts", In Proceedings of the First USENIX Workshop on Intrusion Detection and Network Monitoring, Santa Clara, USA, 1999 [11] Jirapummin, C., Wattanapongsakorn, N. and Kanthamanon, P., "Hybrid Neural Networks for Intrusion Detection System", The 2002 International Technical Conference on Circuits / Systems, Computers and Communications (ITC-CSCC 2002), pages: 928-931, Thailand, July 2002 [12] Kummar, S., "Classification and Detection of Computer Intrusions", PhD thesis Purdue University, 1995 [13] Labib, K. and Vemuri, R., "NSOM: A Real-Time Network-Based Intrusion Detection System Using Self-Organizing Maps", Networks and Security, 2002 [14] Li, T., "Behavioral Clustering and Statistical Intrusion Detection", M. S. Dissertation, Florida State University, Spring 1997 [15] Lichodzijewski, P., Zincir-Heywood, A.N. and Heywood, M.I., "Dynamic Intrusion Detection Using Self-Organizing Maps", The 14th Annual Canadian Information Technology Security Symposium, CITSS, 2002 [16] Lippmann, R.P. and Cunningham, R.K., "Improving Intrusion Detection Performance Using Keyword Selection and Neural Networks", RAID99, Computer Networks, Vol. 34, Number 4, 2000 [17] Rhodes, B.C., Mahaffey, J.A. and Cannady, J.D., "Multiple Self-Organizing Maps for Intrusion Detection", In Proceedings of 23rd National Information Systems Security Conference, 2000 [18] Sabhnani, M. and Serpen, G., "Application of Machine Learning Algorithms to KDD Intrusion Detection Dataset within Misuse Detection Context", http://www.eecs.utoledo.edu/~serpen/ professional/research/publication/mlmta 2003 Manuscript Submission Version.pdf, July 2003 [19] Tauritz, D., "ART: An overview of the field", http://web.umr.edu/~tauritzd/art/overview.html, April 2003 [20] Zhang, Z., Li, J., Manikopoulos, C.N., Jorgenson, J. and Ucles, J., "HIDE: A Hierarchical Network Intrusion Detection System Using Statistical Preprocessing and Neural Network Classification", In Proceedings of the 2nd Annual IEEE Systems, Mans, Cybernetics Information Assurance Workshop, West Point, NY, June 2001 [21] The 3rd International Knowledge Discovery and Data Mining Tools Competition, http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html, April 2003