تشخيص حملات شبكه‌هاي كامپيوتري با يادگيري ماشين و تحليل داده‌هاي جريان ترافيك

Network Attack Detection on Netflow Data using Machine Learning Techniques

با گسترش كاربردهاي فناوري اطلاعات، هر روزه خدمات بيشتري برروي بستر شبكه‌هاي كامپيوتري ارائه مي‌گردد كه به همين نسبت تهديدات امنيتي اين سامانه‌ها با اهداف خراب‌كارانه و يا تجاري توسعه يافته است. يكي از روش‌هايي كه مي‌توان از پيچيدگي تحليل كل ترافيك كم كرد، تحليل خلاصه داده‌هاي مربوط به جريان ترافيك به جاي كل‌ ترافيك مي‌باشد. NetFlow از استانداردهاي توليد داده‌هاي جريان ترافيك است كه داده‌هاي خلاصه از جريان‌هاي ترافيك شبكه را به صورت خودكار توسط مسيرياب‌ها و سوئيچ‌هاي سيسكو توليد مي‌نمايد. در اين مقاله رويكرد مبتني بر يادگيري ماشين براي تحليل ترافيك و دسته‌بندي آن به منظور شناسايي ترافيك‌هاي مربوط به حملات و انجام اقدامات پيشگيرانه، ارائه شده‌است. براي اين كار، از الگوريتم‌هاي مختلف يادگيري ماشين شامل بيز ساده (Naive Bayes)، ماشين بردار پشتيبان (SVM) و درخت تصميم بيز (NBTree) براي مدل‌سازي داده‌هاي خلاصه جريان ترافيك استفاده شده است. براي ارزيابي روش‌هاي ارائه شده از مجموعه داده KDDcup99 استفاده شده است كه قبل از استفاده در الگوريتم‌هاي مربوطه، ويژگي‌هاي مربوط به خلاصه جريان ترافيك از آن استخراج شده (7 ويژگي) و الگوريتم‌هاي دسته‌بندي مذكور هم بر روي همان ويژگي‌ها و هم بر روي همه ويژگي‌هاي موجود در داده‌ها (41 ويژگي) اجرا شده‌اند. متوسط دقت دسته‌بندي براي دسته‌هاي مختلف (22 دسته حمله و يك دسته ترافيك نرمال) نشان مي‌دهد كه استفاده از 7 ويژگي كارايي را زياد تغيير نمي‌دهد اما محاسبات را به ميزان چشمگيري كاهش مي‌دهد. متوسط دقت روش‌ها بيشتر از 97% بوده و در بهترين حالت (روش SVM با 41 ويژگي)، متوسط دقت بيشتر از 99% است.

The rapid growth of IT applications and providing more services on computer networks comes with security threats with malicious and business targets. One method to deal with network traffic analysis complexities is to analyze a summary of network data that is extracted from network connections. Netflow is a defacto standard for generating network flow data introduced by Cisco and integrated into Cisco switches and routers which produce flow records about underlying network traffic. In this paper, we use machine learning techniques to analyze Netflow data and classifying connections pertain to network attacks and do respective prevention measures after the classification. Machine learning algorithms including Naïve Bayes, SVM, and NBTree has been used to model different attacks based on network flow data. In the evaluation phase, KDDcup99 dataset used and related features to Netflow data are selected (7 features), and then, classification has been done with both original KDDcup99 features (41 features) and our selected Netflow features. Average classification accuracy for different 22 attack classes and one benign class shows that using just seven Netflow related features does not affect the accuracy obviously while the computation overhead is obviously decreased. Average detection accuracy for our selected features in different algorithms is 97% whereas, for the best case (i.e, SVM) with 41 features, the average accuracy is 99% which is not so much better than our less complex Netflow based method