تشخیص حملات شبکه‌های کامپیوتری با یادگیری ماشین و تحلیل داده‌های جریان ترافیک

Abstract

با گسترش کاربردهای فناوری اطلاعات، هر روزه خدمات بیشتری برروی بستر شبکه‌های کامپیوتری ارائه می‌گردد که به همین نسبت تهدیدات امنیتی این سامانه‌ها با اهداف خراب‌کارانه و یا تجاری توسعه یافته است. یکی از روش‌هایی که می‌توان از پیچیدگی تحلیل کل ترافیک کم کرد، تحلیل خلاصه داده‌های مربوط به جریان ترافیک به جای کل‌ ترافیک می‌باشد. NetFlow از استانداردهای تولید داده‌های جریان ترافیک است که داده‌های خلاصه از جریان‌های ترافیک شبکه را به صورت خودکار توسط مسیریاب‌ها و سوئیچ‌های سیسکو تولید می‌نماید. در این مقاله رویکرد مبتنی بر یادگیری ماشین برای تحلیل ترافیک و دسته‌بندی آن به منظور شناسایی ترافیک‌های مربوط به حملات و انجام اقدامات پیشگیرانه، ارائه شده‌است. برای این کار، از الگوریتم‌های مختلف یادگیری ماشین شامل بیز ساده (Naive Bayes)، ماشین بردار پشتیبان (SVM) و درخت تصمیم بیز (NBTree) برای مدل‌سازی داده‌های خلاصه جریان ترافیک استفاده شده است. برای ارزیابی روش‌های ارائه شده از مجموعه داده KDDcup99 استفاده شده است که قبل از استفاده در الگوریتم‌های مربوطه، ویژگی‌های مربوط به خلاصه جریان ترافیک از آن استخراج شده (7 ویژگی) و الگوریتم‌های دسته‌بندی مذکور هم بر روی همان ویژگی‌ها و هم بر روی همه ویژگی‌های موجود در داده‌ها (41 ویژگی) اجرا شده‌اند. متوسط دقت دسته‌بندی برای دسته‌های مختلف (22 دسته حمله و یک دسته ترافیک نرمال) نشان می‌دهد که استفاده از 7 ویژگی کارایی را زیاد تغییر نمی‌دهد اما محاسبات را به میزان چشمگیری کاهش می‌دهد. متوسط دقت روش‌ها بیشتر از 97% بوده و در بهترین حالت (روش SVM با 41 ویژگی)، متوسط دقت بیشتر از 99% است.