ارايه يك ره يافت جديد مبتني بر روش تركيبي به منظور آشكارسازي نفوذ در شبكه

A New Approach to Network Intrusion Detection Based on Hybrid Methods

نقش يك سامانه تشخيص نفوذ براي آشكارسازي ناهنجاري‌ها در شبكه از اهميت زيادي برخوردار است. حملات جديد و ناشناخته موجب ناكارآمدي راه‌كارهاي شناسايي مبتني بر امضا و در نتيجه استفاده از راه‌كارهاي شناسايي مبتني بر ناهنجاري شده است. اين راه‌كارها نيز علي‌رغم توانايي بالا در تشخيص ناهنجاري‌ها، از نرخ مثبت كاذب بالايي رنج مي‌برند. براي غلبه بر اين مشكل، ايده استفاده از آشكارسازهاي‌ تركيبي مطرح ‌شده است. در اين مقاله، راه‌كاري نوين مبتني بر روش آشكارسازي تركيبي با يك معماري چهارلايه‌اي پيشنهاد شده است. لايه‌ اول از واحد تحليل‌گر جريان داده‌ها و واحد طبقه‌بندي تشكيل ‌شده است كه براي طبقه‌بندي نوع سرويس‌هاي شبكه از تركيب روش آماري n-گرام‌ و الگوريتم ژنتيك استفاده مي‌كند. در لايه تشخيص نفوذ، يك واحد آشكارساز مبتني بر امضا و واحد‌هاي آشكارساز مبتني بر ناهنجاري به شكل تركيبي پياده‌سازي شده‌اند كه متناسب با برچسب نوع سرويس‌ها فراخواني مي‌شوند. سپس، درنتيجه‌ پردازش اين واحدها، لايه تصميم‌گيري فراخواني مي‌شود. اين لايه‎ ماهيت حمله و نوع پاسخ را تشخيص داده و لايه‌ مديريت وقايع را فرا مي‌خواند. در اين لايه ضمن اطلاع‌رساني هشدارها به مدير شبكه، در صورت نياز، اعمال واكنشي و اقدامات امنيتي لازم نيز انجام خواهد شد. نتايج حاصل از ارزيابي‌ اعتبارسنجي چندلايه‌اي، بهبود دقت تشخيص نفوذ را 81/99% نشان مي‌دهد كه در نتيجه كاهش ميزان نرخ مثبت كاذب را در پي خواهد داشت.

The role of intrusion detection systems has been considered significant in network anomaly detection. New and unknown attacks have proved that signature-based detection methods are inefficient, and raised the attention to anomaly-based detection methods. Despite their great ability in anomaly detection, these methods suffer from high rate of false-alarms. Therefore, the idea of using hybrid intrusion detection systems is developed in order to reduce the false-alarm rate. In this paper, we propose a four-layered model based on hybrid methods. The first layer consists of data flow analysis and service type classification modules. The service type classifier uses both an n-gram-based statistical technique, and an evolutionary algorithm. In the intrusion detection layer, a signature-based and several anomaly-based detection modules have been implemented with hybrid methods. These specific detection modules are called according to the type of service which has been identified through the first layer. The decision-making layer is then called based on the results of intrusion detection process. This layer identifies the attack nature and the type of response, and then calls the event management layer. In this layer, network administrator is notified appropriately; and, responsive actions are managed if needed. Applying the cross-validation method shows that intrusion detection has been improved and, in result, the false alarm rate has been reduced.