پایان نامه با کلید واژه های ویولت، ترافیک، تشخیص

شده است که متداول ترین آنها را در جدول4-2 ملاحظه می کنید.
جدول4-2 لیستی از توابع فعال سازی مورد استفاده در شبکه های عصبی
Comments
Derivatives
(df(u))/du
Formula a=f(u)
Activation Function
Commonly used; derivative can be
computed from f(u) directly.
f(u)[1-f(u)]/T
f(u)=1/(1+e^(-u/T) )
Sigmoid
T = temperature parameter
(1-[f(u)]^(2 ) )/ T
f(u)= tanh?(u/T)
Hyperbolic tangent
Less frequently used
2/?T . 1/(1+(u/T)^2 )
f(u)= 2/? tan^(-1)?(u/T)
Inverse tangent
Derivatives do not exist at u = 0
f(u)={?(1, [email protected], &u?0)?
Threshold
Used for radial basis neural network; m
and ?^2 are parameters to be specified
-2(u-m). f(u)/?^2
f(u)=exp?[-?u-m?^2/?^2 ]
Gaussian radial basis
a
f(u)=au+b
Linear
در اواخر دهه ی 1950، روزن بلات مفهوم پرسپترون ساده را با اتصال چندین نرون به یکدیگر ارائه کرد و موفق شد این مفاهیم را برای اولین بار در کامپیوترهای دیجیتال پیاده سازی و تحلیل نماید. پیدایش این پرسپترون ها در طول زمان به ظهور شبکه های پرسپترون چندلایه ای (MLP) و دیگر ساختارهای پیچیده عصبی انجامید. شکل 4-6 ، این ساختار را نشان می دهد:
شکل4- 6 نمایش ساختاری از الگوی پرسپترون ساده
با پیدایش شبکه های عصبی چندلایه ای، بسیاری از رفتارهایی که تا پیش از این قابل مدلسازی نبودند، الگوسازی شدند. همانطور که در شکل4-7 مشاهده می شود، در این نوع شبکه ها، از یک لایه ی ورودی جهت اعمال داده های ورودی، چند لایه ی مخفی (حداقل یک لایه) و یک لایه ی خروجی به منظور ارائه پاسخ مساله، استفاده می شود.
شکل4-7 ساختار کلی شبکه های عصبی مصنوعی به شکل پرسپترون چندلایه ای
گره های لایه ورودی، نرون های حسی و گره های لایه خروجی، نرون های پاسخ دهنده هستند. در لایه پنهان نیز نرون های پنهان وجود دارند[36].
فصل پنجم
چهارچوب طرح پیشنهادی
5-1- ارزیابی روشهای مبتنی بر ویولت
در این بخش، روش های مختلفی برای تشخیص نفوذ، مورد ارزیابی قرار می گیرند. در ادامه هر یک از این روشها به تفکیک بررسی می شوند.
5-1-1 پیشینه پژوهش ها درزمینه بکارگیری ویولت
در پژوهش بارفورد و همکاران64 [7]، از تبدیل ویولت برای آنالیز و ارزیابی مشخصه های رفتاری ترافیک شبکه براساس جریان داده، استفاده شده است. داده های اولیه ای که در این پژوهش بکار گرفته شد شامل جریان شبکه اخذ شده از روترهای سیسکویی بود که در مکان های مختلفی از یک دانشگاه بزرگ قرار داشتند. براساس این ساختار، سیگنال ها به مولفه های مختلفی در سه بازه فرکانسی تقسیم می شوند: مولفه های فرکانس پایین به الگوهایی در یک دوره طولانی مثلاً چندین روز، مربوط می شوند. مولفه های فرکانس میانی، تغییرات روزانه در جریان داده را می گیرند. مولفه های فرکانس بالا شامل تغییرات کوتاه مدت میباشند. این سه دسته از مولفه ها طی گروه بندی ضرایب ویولت مربوط به سه بازه زمانی بدست می آید و به همین ترتیب، سیگنال ها ترکیبی از این سطوح فرکانسی می شوند. براساس مولفه های فرکانسی مختلف، یک الگوریتم انحراف برای تشخیص ناهنجاری ها با استفاده از تنظیم یک مقدار آستانه برای سیگنال هایی که از ضرایب ویولت با سطوح فرکانسی مختلف ساخته شده اند، ارائه می گردد.
نتایج بررسی ها نشان می دهد که برخی از انواع حملات رد سرویس و پویش پورتها که رفتارهای ناهنجاری را در الگوهای فعالیتی بروز می دهند، در مولفه های دسته میانی و بالا تشخیص داده می شوند. اما اسکن های فرکانس پایین و انواع دیگری از حملات رد سرویس با وجود اینکه رفتارهایی ناهنجار را در ترافیک شبکه نشان می دهند، چنین الگوهایی را تولید نمی کنند.
از دیگر نمونه های سیستم تشخیص نفوذ مبتنی بر تکنیک های آنالیز ویولت می توان به ارائه چارچوبی موسوم به Waveman توسط هوانگ و همکاران65 [8] و NetViewer توسط کیم و ردی66 [9] اشاره نمود. نتایج بررسی ها برای Waveman بر روی مجموعه داده های مربوط به تشخیص نفوذ 1999 DARPA و داده های ترافیک شبکه حقیقی نشان می دهد که برای تشخیص ناهنجاری ها در یک محیط آزمایشی یکسان، ویولت های کویفلت67 و پال68 بهتر از بقیه انواع ویولت ها عمل می کنند. NetViewer نیز مبتنی بر این نظریه است که با مشاهده ترافیک و مرتبط ساختن آن با حالت نرمال قبلی، امکان تشخیص اینکه ترافیک فعلی به شکل ناهنجار رفتار می کند یا خیر، وجود دارد[9].
در [10]، رامنران69 نظریه ای به نام WADeS برای تشخیص حملات DDoSمطرح کرده است. تبدیل ویولت روی سیگنال های ترافیکی اعمال شده و واریانس ضرایب ویولت مربوطه برای تخمین نقاط حمله مورد استفاده قرار می گیرد.
در [11]، لی و لیی70 دریافتند که ترافیک انباشته در طی بازه گسترده ای از مقیاس های زمانی به شدت حالت انفجاری دارد و بر این اساس، آنها از آنالیز ویولت برای گرفتن همبستگی زمانی مرکب در طی مقیاس های زمانی چندگانه با پیچیدگی محاسباتی بسیار کم استفاده کردند. سپس توزیع انرژی مبتنی بر آنالیز ویولت برای یافتن ترافیک حمله DDoS استفاده می شود چراکه تغییرات واریانس توزیع انرژی هنگامی که رفتارهای ترافیکی تحت تاثیر حملات DDoS قرار می گیرند، همواره سبب یک پرش می شود. این در حالی است که ترافیک نرمال مشخصاً یک توزیع انرژی ثابت را نشان می دهد.
در پژوهش کیم و همکاران71 [12]، تکنیکی برای تشخیص ناهنجاری های ترافیک از طریق تحلیل تناظر آدرس IP مقصد در ترافیک خروجی از یک روتر خارجی ارائه دادند. آنها این نظریه را مطرح کردند که آدرس های IP مقصد به دلایلی درجه همبستگی بالایی دارند و تغییرات در تناظر آدرس های خروجی می تواند برای تشخیص ناهنجاری های ترافیک شبکه مورد استفاده قرار گیرد. بر این اساس، آنها تبدیل ویولت گسسته را روی داده های متناظر با آدرس ها و شماره پورت ها در طی چندین مقیاس زمانی اعمال می کنند. هرگونه انحراف از معیار ثابت پیشین، به عنوان ناهنجاری بالقوه در ترافیک به مدیر شبکه اطلاع داده می شود. با تمرکز بر روی انواع خاصی از حملات شبکه، آنالیز ویولت برای تشخیص حملات DoS یا DDoS مورد استفاده قرار گرفته است[13-10].
در [13]، داینوتی و همکاران72 یک سیستم اتوماتیک برای تشخیص ناهنجاری های حجمی که در ترافیک شبکه به علت حملات رد سرویس پیش آمده، ارائه می دهد. این سیستم نظریه های متعارف مانند آستانه انتخابی و مجموعه فزاینده را با یک نظریه جدید مبتنی بر تبدیل ویولت پیوسته ترکیب می کند. آنالیز ویولت علاوه بر تشخیص ناهنجاری های خاص شبکه، بطور گسترده در سنجش شبکه از دیدگاه آنالیز عملکرد ترافیک [14]، تشخیص و کاوش ناهنجاری های ترافیک [15و16] و تشخیص تراکم ترافیک [17] نیز مورد استفاده قرار می گیرد.
در [18]، قربانی و نیار73 از یک مدل تقریب اتورگرسیون برای تشخیص نفوذ در شبکه استفاده می کنند. این نظریه مبتنی بر آنالیز ویولت است و معیار نرخ بسته74 به عنوان سیگنال ورودی شبکه در نظر گرفته می شود. ارزیابی این پژوهش با استفاده از مجموعه داده های 1999 DARPA نشان می دهد که در شناسایی ناهنجاری ها کارکرد موثری داشته، اما طی آن تنها یک سیگنال شبکه و یک تابع ویولت استفاده شده است.
در[19]، وی لو و قربانی75 نظریه ای مبتنی بر آنالیز ویولت، تقریب اتورگرسیون و تکنیکهای تشخیص دورافتاده76 را مطرح می کنند. در این پژوهش، عملکرد مدل با چهار نوع از توابع ویولت شامل دوبیشیز177 ،کویفلت178 ، سیملت279 و مِیِر گسسته80 ارزیابی شده است.
براساس تحقیقات قبلی محققی در[42]، امکان بهبود راهکارهای موجود با استفاده از آنالیز ویولت و داده های واقعی وجود دارد.
5-1-2- استفاده از ضرایب تقریب ویولت و معیار انحراف استاندارد81
در این چهارچوب، مجموعه داده DARPA 1999برای ارزیابی ابزارهای تشخیص مبتنی بر نسل اول و دوم ویولت ها مورد استفاده قرار می گیرد. همانطور که پیشتر گفته شد، این مجموعه داده شامل پنج هفته و هر هفته پنج روز ترافیک شبکه در قالب فایل های tcpdump می باشد. در اینجا هر فایل مربوط به 22 ساعت ترافیک روزانه ابتدا به فرمت pcap تبدیل شده و سپس با ابزار tshark از آن گزارش جریان گرفته می شود. این گزارش در چهار فایل csv، شامل تعداد بایت و بسته در یک بازه زمانی مشخص و به تفکیک سه پروتکل tcp، udp و icmp و نیز تلفیقی از همه پروتکل ها می باشد. در این روش، از آیتم تعداد بسته در فایل جامع شامل تمامی پروتکل ها استفاده شده است. بازه زمانی مفروض، 1ثانیه می باشد.
Tshark -r w1d1.pcap -q -n -z io,stat,1 w1d1.csv
Tshark -r w1d1.pcap -q -n -z io,stat,1,tcp w1d1.tcp.csv
Tshark -r w1d1.pcap -q -n -z io,stat,1,udp w1d1.udp.csv
Tshark -r w1d1.pcap -q -n -z io,stat,1,icmp w1d1.icmp.csv
در ادامه، یک پنجره زمانی بطول 5 ثانیه تعریف می شود که هربار 5 نمونه از این داده ها را مورد ارزیابی قرار داده و مقدار انحراف استاندارد(std) را برای آن محاسبه می کند و به همین ترتیب این پنجره زمانی در طول داده های سیگنال به جلو پیش می رود. در انتها آرایه ای از مقادیر std بدست می آید که بطور متوالی، هر عنصر آن از اعمال این تابع به 5 ثانیه از ترافیک حاصل شده است.
Std(x) = (1/(n-1) ?_(i=1)^n??(x_i ?-x ? ) )1/2
به همین ترتیب، بر روی هر 5 ثانیه از ترافیک، تبدیل ویولت (ویولت هار، کویفلت1 و یک ویولت نسل دوم که از اجرای یک مرحله lifting بر روی ویولت هار بدست آمده ) اعمال می شود و سه ضریب اول آن که حاوی بیشترین اطلاعات درباره ی سیگنال است، استخراج می گردد. خروجی این مرحله سه آرایه به عنوان approx1، approx2، و approx3 می باشد که هر یک به ترتیب شامل اولین، دومین و سومین ضرایب ویولت در بازه های زمانی 5ثانیه است.
علت انتخاب ویولت هار و کویفلت1 از میان انواع مختلف ویولت های نسل اول، عملکرد بهتر آنها در بهبود نتایج تحقیقات پیشین در این زمینه بوده است[3 و 39].
مشاهدات نشان می دهد سیر رفتاری نمودار std و نمودارهای approx1، approx2 و approx3 برای ترافیک 22 ساعت از یک روز، تا اندازه ی زیادی با هم مطابقت دارند.
نتایج این رویکرد، با استفاده از ویولت های نسل دوم نیز مورد ارزیابی قرار گرفت. در شکل1، برشی از رفتار ترافیک شبکه روز سوم از هفته دوم نشان داده شده است. پنجره نمونه برداری یک سیگنال زمانی 5، 10 و 15 ثانیه ای برحسب تعداد بسته می باشد که برای این نمونه داده ها، ضرایب اول، دوم و سوم ویولت بدست آمده و هر یک به عنوان عنصری از یک آرایه ثبت می شود. بعلاوه، ضرایب چندجمله ای لارنس در الگوریتم lifting مربوط به تابع ویولت نسل دوم، بصورت [-0.125 0.125] در نظر گرفته شده است. در شکل زیر، نمایش سه آرایه مذکور به همراه سیگنال اولیه برای ساعت سوم تا پنجم از ترافیک روز سوم از هفته دوم مشاهده می شود. قله ای که در ثانیه 3742ام رخ داده است، وقوع حمله satan را نشان می دهد.
اشاره به این نکته ضروری است که در تمامی نمودارها، محور افقی بیانگر زمان (برحسب ثانیه) و محور عمودی، مقادیر ضرایب مربوط به آن می باشد. به جهت وضوح بیشتر نمودارها در تصویر، از ذکر این برچسب ها بر روی محورها اجتناب شده است.
5-1-1 رفتار ضرایب اول، دوم و سوم ویولت هار با پنجره زمانی 5 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم. محور افقی، زمان (برحسب ثانیه) و محور عمودی، مقادیر ضرایب مربوط به آن می

مطلب مرتبط :   پایان نامه با کلید واژه هایبهبود عملکرد

دیدگاهتان را بنویسید