تشخيص كر مهاي اينترنتي استتاري با استفاده از ماشين بردار پشتيبان تك كلاسي

كرم اينترنتي بدافزاري است كه قادر به انتشار و تكثير خود از طريق شبكه هاي كامپيوتري و بدون دخالت عامل انساني است . نتايج بررسي هاي اخير نشان مي دهد كه برخي از كرم هاي اينترنتي در مراحل مختلف چرخه حيات خود به ويژه در مرحله پوي ش ميزبان هاي قرباني هوشمندتر شده اند. در اين مقاله، روشي براي تشخيص كرم هاي اينترنتي استتاري پيشنهاد مي شود. اين كرم ها ي هوشمند ميزبان هاي شبكه را به صورت كنترل شده پويش مي كنند تا از افزايش نمايي نرخ پويش جلوگيري شود. روش پيشنهادي شامل دو مرحله آموزش و تشخيص است. در مرحله آموزش، ابتدا مجموعه اي از ركوردهاي پويش غيركرمي به عنوان ورودي دريافت مي شود . سپس براي هر ميزبان پويشگر در اين مجموعه دادگان يك بردار شامل پنج ويژگي تعداد ميزبان هاي پويشي متفاوت، نسبت تعداد ميزبان هاي پويشي متفاوت به تعداد كل پويش ها، طول مدت پويش، تعداد بازه هاي پويش و تنوع درگاه هاي مقصد استخراج مي شود. داده شده و مدلي براي ترافيك پويش غيركرمي ايجاد OCSVM اين بردارهاي ويژگي به عنوان ورودي به طبقه بند تك كلاسي مي شود. در مرحله تشخيص، در هر پنجره زماني ركوردهاي پويش از حسگرهاي مختلف يك سيستم ناظر تهديدات اينترنت دريافت شده و با توجه به مدل ايجاد شده در مرحله آموزش كرم استتاري تشخيص داده مي شود. روش پيشنهادي با استفاده از مجموعه و شش نوع ترافيك پويش كرم استتاري مورد ارزيابي قرار م يگيرد. اين مجموعه دادگان در ماه مارس سال 2013 DShield دادگان جمع آوري شده و به طور متوسط شامل نزديك به 20 ميليون ركورد پويش SANS ISC ميلادي توسط سيستم ناظر تهديدات اينترنت در هر روز است. نتايج آزمايش ها نشان مي دهند كه روش پيشنهادي در مقايسه با روش هاي قبلي مصالحه بهتري ميان نرخ تشخيص و نرخ هشدار نادرست برقرار مي كند.