تشخیص حملات سایبری پیشرفته با استفاده از مدل‌سازی رفتاری مبتنی بر پردازش زبان طبیعی

Abstract

رشته حملات پیچیده و ماندگار نفوذ به شبکه از مراحل نامحسوس و مخفی متعددی تشکیل ‌شده‌اند. یکی از دلایل ناکارآمدی سامانه­های تشخیص نفوذ در برابر این حملات، استفاده از سازوکار دفاعی مبتنی بر آنالیز ترافیک شبکه‌ای سطح پایین است که در آن به روابط پنهان بین هشدارها توجه نمی‌شود. فرض ما این است که اطلاعات ساختاری پنهان در داده‌های ترافیکی وجود دارند و ما می‌خواهیم در ترافیک شبکه‌ای قواعدی مانند قواعد زبان تعریف کنیم و آن­را برای توصیف الگوهای فعالیت‌های شبکه‌ای بدخواهانه به­کار بگیریم. به این وسیله می­توانیم مسئله کشف الگوهای سوء استفاده و ناهنجاری را همانند مسئله یادگیری ساختارهای نحوی و قطعات مفهومی "زبان شبکه" حل کنیم. در این مقاله برای مدل‌سازی در مرحله تولید دنباله‌ها برای اولین بار در حوزه سایبری از یک خوشه‌بندی جدید به‌عنوان خوشه‌بندی MD_DBSCAN که یکی از انواع بهبودیافته خوشه‌بندی DBSCAN است، استفاده‌ شده است. علاوه­بر این، از یک الگوریتم حریصانه با الهام از القاء گرامر در پردازش زبان طبیعی استفاده‌ شده تا با ادغام فعالیت‌های سطح پایین بتوانیم فعالیت‌های سطح بالا را کشف کنیم و روابط بین فعالیت‌های سطوح مختلف را تعریف کنیم. در بخشی از الگوریتم پیشنهادی برای کشف فعالیت‌های سطح بالا، برای اولین بار معیار شباهت ویرایش در خوشه‌بندی سلسله مراتبی به معیارهای موجود در الگوریتم پایه اضافه ‌شده است. نتایج نشان می‌دهد دقت تشخیص در فعالیت‌های سطح بالا نسبت به فعالیت‌های سطح پایین با توجه به نمودار ROC حدود 30 % بیشتر است. همچنین، با تنظیم بهترین حد آستانه در الگوریتم تشخیص حملات، با درنظرگرفتن معیار F1 ، برای لغات سطوح یک تا سه به ترتیب به نتایج 3/72 و 2/96 و 4/96 در پنجره پیش‌بینی با اندازه سه رسیده‌ایم که به‌طورکلی حدود 2/. نسبت به الگوریتم پایه بهبود نشان می‌دهد.