پيش‌پردازش ترافيك ورودي در سيستم‌هاي تشخيص نفوذ و تأثير آن بر بهبود كارايي سيستم در شبكه‌هاي كامپيوتر

Pre-processing of incoming traffic in intrusion detection systems and its effect on improving system performance in computer networks

با گسترش روزافزون فضاي سايبر در جنبه‌هاي مختلف زندگي بشر و همچنين افزايش دانش كاربران فضاي مجازي، حفظ حريم خصوصي و امنيت اطلاعات در اين فضا نيز ضروري و حياتي به نظر مي‌رسد. راه‌هاي مختلفي براي حفاظت از اين حجم عظيم اطلاعات در فضاي مجازي وجود دارد كه يكي از راه‌هاي مؤثر در اين خصوص سيستم‌هاي تشخيص نفوذ هستند؛ اما سيستم‌هاي تشخيص و نفوذ موجود نيز داراي اشكالاتي از جمله نرخ هشدار كاذب بالا و ... هستند. در اين مقاله قصد داريم به بررسي اين موضوع بپردازيم كه اگر بتوان ترافيك ورودي را پيش‌پردازش و ترافيك مشكوك به حمله را فيلتر كرد، مي‌توان نرخ هشدار كاذب را كاهش و كارايي سيستم را افزايش داد. دسته‌بندي ترافيك يا داده‌ها را با روش‌هاي مختلفي ازجمله k نزديك‌ترين همسايه (knn) و ... مي‌توان انجام داد كه ما در اين مقاله از درخت تصميم كه يكي از روش‌هاي قديمي اين حوزه است و الگوريتم knn استفاده خواهيم كرد و درنهايت با پالايش برگ‌هاي درخت تصميم يا دسته‌هاي ايجاد شده با knn كه ترافيك دسته‌بندي شده است، خوشه‌هاي مشكوك به حمله را حذف و ترافيك پيش‌پردازش شده را به سيستم تشخيص نفوذ مي‌فرستيم و با توجه به اينكه بخش عمده‌اي از ترافيك مشكوك به حمله حذف مي‌شود، نرخ هشدار كاذب كاهش و كارايي افزايش مي‌يابد.

With the increasing expansion of cyberspace in various aspects of human life and also increasing the knowledge of cyberspace users, privacy and information security in this space also seems necessary and vital. There are several ways to protect this huge amount of information in cyberspace, and one of the most effective ways in this regard is intrusion detection systems; But existing detection and intrusion systems also have drawbacks such as high false alarm rates and .... In this article, we intend to examine the issue that if the incoming traffic can be pre-processed and the traffic suspected of being attacked can be filtered, the false alarm rate can be reduced and the system efficiency can be increased. Traffic or data classification can be done in various ways, including k nearest neighbor (knn), etc. In this article, we will use the decision tree, which is one of the oldest methods in this field, and the knn algorithm, and finally by refining the tree leaves. The decision or categories created with knn to categorize traffic remove suspicious attack clusters and send the preprocessed traffic to the intrusion detection system, and as the bulk of suspicious attack traffic is removed, the false alarm rate is reduced and performance is reduced. increase.