1-5 تعاریف و اختصار……………………. 6

1-6 ساختار پایان نامه……………………. 9

فصل دوم ……………………10

2-1 داده ­کاوی…………………….. 11

2-1-1دسته­ بندی ……………………11

2-2مدلها و الگوریتمهای داده کاوی…………………….. 13

2-2-1 شبکه­ های عصبی…………………… 13

2-2-2درخت تصمیم……………………  16

2-2-3 روش طبقه ­بندی بیزین ……………………19

2-3-2-2 شبکه­ های بیزین ……………………20

2-2-4 مدل قانون­ حور …………………… 22

2-2-5 مدل کاهل …………………… 26

2-2-6ماشین بردارپشتیبان ……………………32

2-3 مقدمه ­ای بر تقلب…………… 36

2-3-1 ساختن مدل برای تقلب……………………36

2-3-2 اصول کلی تقلب: …………………… 36

2-3-3 چگونگی شناسایی تقلب:…………………… 37

2-3-4 چگونگی ساخت مدل تقلب: ……………………37

2-4 مقدمه­ای بر سیستم تشخیص نفوذ……………………. 38

2-4-1 تعاریف اولیه…………………… 39

2-4-2 وظایف عمومی یک سیستم تشخیص نفوذ:……………………39

2-4-3 دلایل استفاده از سیستم های تشخیص نفوذ:…………………… 40

2-4-4 جمع آوری اطلاعات…………………… 41

2-4-5 تشخیص و تحلیل: ……………………41

2-4-6 تشخیص سوء استفاده:……………………41

2-4-7 تشخیص ناهنجاری:…………………… 42

2-4-8 مقایسه بین تشخیص سوء استفاده و تشخیص ناهنجاری:…………………… 42

2-4-9 پیاده سازی سیستمهای تشخیص نفوذ:……………………42

2-5 تعاریف برخی مقادیر ارزیابی مورد استفاده در سیستم داده کاوی:………. 44

2-5-2 درستی …………………… 47

2-5-3 میزان خطا…………………… 47

2-5-4 حساسیت، میزان مثبت واقعی، یاد آوری…………………… 47

2-5-5 ویژگی، میزان منفی واقعی…………………… 48

2-5-6 حساسیت: ……………………48

2-5-7دقت……………………49

2-5-8 معیار F:……………………   

2-6 پژوهشهای انجام شده در این زمینه:…………………… 50

2-6-1 پژوهش اول: کشف تقلب در سیستم­های مالی­با بهره گرفتن از داده ­کاوی…. 51

2-6-2 پژوهش دوم: کشف تقلب در کارت اعتباری با بهره گرفتن از شبکه عصبی و بیزین …. 53

2-6-3پژوهش سوم: شناسایی تقلب بیمه با بهره گرفتن از تکنیکهای داده ­کاوی……….. 56

2-6-4 پژوهش چهارم: استفاده از الگوریتم ژنتیک برای تشخیص تست نفوذ……… 62

2-6-5 پژوهش پنجم: شناسایی ترافیک غیرنرمال در شبکه با الگوریتم خوشه بندی …. 65

3-1 روش تحقیق…………………….. 71

3-2 داده­های آموزشی و تست:…………………… 73

3-2-1 ویژگی­های داده ­ها………. 73

3-2-2 ویژگیهای اساسی مجموعه داده ها:………………… 73

4-1 الگوریتمهای مدل بیزین و ارزیابی آنها…………………… 83

4-2 مدل کاهل…………………….. 92

4-3 شبکه عصبی…………………….. 99

4-4 مدل قانون محور……………………. 108

4-5 درخت تصمیم……………………. 118

4-6 ماشین بردار پشتیبان……………………. 130

فصل پنجم …………………… 139

5-1 مقدمه……………………. 140

5-2 مزایا ……………………141

5-3 پیشنهادات……………………… 141

فصل ششم  …………………… 143

فهرست منابع……………………. 144

پیوستها …………………… 148

پیوست الف -مجموعه داده نوع اول:…………………… 148

پیوست ب-مجموعه داده نوع دوم……………………. 153

پیوست ج-نوع داده مجموعه سوم:…………………… 156

پیوست د-مجموعه داده نوع چهارم……………………. 161

پیوست ه -مجموعه داده نوع پنجم …………………… 190

چکیده:

با رشد فناوری اطلاعات، امنیت شبکه به عنوان یکی از مباحث مهم و چالش بسیار بزرگ مطرح است. سیستم های تشخیص نفوذ، مولفه اصلی یک شبکه امن است. سیستم های تشخیص نفوذ سنتی نمی­توانند خود را با حملات جدید تطبیق دهند از این رو امروزه سیستم های تشخیص نفوذ مبتنی بر داده ­کاوی مطرح گردیده­اند. مشخص نمودن الگوهای در حجم زیاد داده، کمک بسیار بزرگی   به ما می­ کند. روش­های داده ­کاوی با مشخص نمودن یک برچسب دودویی (بسته نرمال، بسته غیر­نرمال) و همچنین مشخص نمودن ویژگی­ها و خصیصه با الگوریتم­های دسته­بندی می­توانند داده غیر­نرمال تشخیص دهند. از همین رو دقت و درستی سیستم­های تشخیص­نفوذ افزایش یافته و در نتیجه امنیت شبکه بالا می­رود. در این پایان نامه ما مدلی پیشنهادی ارائه می­نماییم که الگوریتم­های مختلف دسته­بندی را روی مجموعه داده خود تست نموده و نتایج شبیه­سازی نشان می­دهد در درخت تصمیم الگوریتم J48 ، شبکه عصبی الگوریتم Neural net ، شبکه بیزین الگوریتم HNB ، مدل کاهل الگوریتم K-STAR، در ماشین بردار پشتیبان الگوریتم LibSVM و در مدل قانون محور الگوریتمRule Induction Single Attribute دارای بهترین جواب از نظر پارامترهای مختلف ارزیابی برای سیستم تشخیص نفوذ است. بین تمامی الگوریتم­ها با این مجموعه داده، الگوریتم J48 دارای بالاترین مقدار درستی به میزان 85.49%، دارای بالاترین میزان دقت به مقدار 86.57% و دارای بالاترین مقدار یادآوری به مقدار 86.57% می­باشد. نوآوری اصلی در پایان ­نامه، استفاده از الگوریتم­های مدل کاهل و مدل قانون­محور است که تاکنون برای سیستم­های تشخیص­نفوذ استفاده نشده است. و همچنین پیشنهاد 5 نمونه داده که از داده اولیه استخراج شده که برای مدل­های مختلف و الگوریتم­ها بهترین جواب را می­دهد.

فصل اول: مقدمه و کلیات تحقیق

1-1- مقدمه

از آنجایی که از نظر تکنیکی ایجاد سیستم­های کامپیوتری بدون نقاط ضعف و شکست امنیتی عملا غیر ممکن است. تشخیص نفوذ در سیستم­های کامپیوتری با اهمیت خاصی دنبال می­شود. سیستم­های تشخیص نفوذ سخت­افزار یا نرم­افزاری است که کار نظارت بر شبکه ­کامپیوتری را در مورد فعالیت­های مخرب و یا نقص سیاست­های مدیریتی و امنیتی را انجام می­دهد و گزارش­های حاصله را به بخش مدیریت شبکه ارائه می­دهد‎[1]. سیستم­های تشخیص نفوذ وظیف شناسایی و تشخیص هر گونه استفاده غیر مجاز به سیستم، سوء استفاده و یا آسیب رسانی توسط هر دودسته کاربران داخلی و خارجی را بر عهده دارند. هدف این سیستم­ها جلوگیری از حمله نیست و تنها کشف و احتمالا شناسایی حملات و تشخیص اشکالات امنیتی در سیستم یا شبکه­کامپیوتری و اعلام آن به مدیر سیستم است. عموما سیستم­های تشخیص نفوذ در کنار دیوارهای آتش و بصورت مکمل امنیتی برای آن­ها مورد استفاده قرار می­گیرد. سیستم های تشخیص نفوذ ستنی نمی توانند خود را با حملات جدید تطبیق دهند از این رو امروزه سیستم های تشخیص نفوذ مبتنی بر داده ­کاوی مطرح گردیده ­اند‎[1]. مشخص نمودن الگوهای در حجم زیاد داده، کمک بسیار بزرگی به ما می­ کند. روش­های داده ­کاوی با مشخص نمودن یک برچسب دودویی (بسته نرمال، بسته غیر­نرمال) و همچنین مشخص نمودن ویژگی­ها و خصیصه با الگوریتم­های دسته بندی می­توانند داده غیر­نرمال تشخیص دهند. از همین رو دقت و درستی سیستم های تشخیص نفوذ افزایش یافته و در نتیجه امنیت شبکه بالا می­رود‎[1].

در این پایان نامه سعی شده است با بهره گرفتن از روش­های مبتنی بر داده ­کاوی سیتم های تشخیص نفوذ پیشنهاد کنیم که از این روش­ها برای شناسایی و کشف حملات استفاده می­ کنند. در این روش ما تمامی الگوریتم­های موجود را شبیه­سازی نموده و در خاتمه بهترین الگوریتم را پیشنهاد می­نماییم. نوآوری اصلی در این پایان نامه ، استفاده از الگوریتم­های مدل کاهل و مدل قانون­محور در داده ­کاوی است که تاکنون برای سیستم­های تشخیص­نفوذ استفاده نشده است. همچنین استفاده از تمام الگوریتم­های موجود در روش­های دسته­بندی است که در نرم افزار WEKA و Rapidminer موجود است[67]. پیشنهاد 5 نمونه داده که از داده اولیه استخراج شده و برای مدل­های مختلف و الگوریتم­ها بهترین جواب را می­دهد از نوآوری این پایان نامه است. استخراج 5 نمونه داده وقت بسیار زیادی به خود اختصاص داده وهمه الگوریتم­های مختلف موجود در مدل­های دسته­بندی با مجموعه داده­های مختلف شبیه­سازی و اجرا شدند که در نهایت 5 نمونه داده اولیه پیشنهاد نموده­ ایم.

2-1- بیان مسأله

در دنیای امروز، کامپیوتر و شبکه ­های کامپیوتری متصل به اینترنت نقش عمده­ای در ارتباطات و انتقال اطلاعات ایفا می­ کند. در این بین افراد سودجو با دسترسی به اطلاعات مهم مراکز خاص یا اطلاعات افراد دیگر و با قصد اعمال نفوذ یا اعمال فشار و یا حتی به هم ریختن نظم سیستم­ها، به سیستم ­های کامپیوتری حمله می­ کنند. بنابراین لزوم حفظ امنیت اطلاعاتی و حفظ کارآیی در شبکه ­های کامپیوتری که با دنیای خارج ارتباط دارند، کاملا محسوس است.

مكانیزم‌های امنیتی به 2 گروه كلی محافظتی و مقابله‌ای تقسیم‌بندی می‌شوند. مكانیزم‌های محافظتی سعی می‌كنند از اطلاعات و سیستم در مقابل حملات محافظت كنند. مكانیزم‌های مقابله‌ای هم برای مقابله با حمله تدارك دیده شده‌اند.‎[1] سیستم‌های تشخیص نفوذ مطابق تعریف مؤسسه ملی استانداردها و تكنولوژی‌های آمریكا، فرایندی هستند كه كار نظارت بر رویدادهایی كه در شبكه و سیستم رخ می‌دهد و همچنین كار تحلیل رویدادهای مشكوك را برای به‌دست آوردن نشانه نفوذ، بر عهده دارند.

3-1- اهمیت و ضرورت تحقیق

هدف از این پایان نامه استفاده از روش­های مبتنی بر داده ­کاوی برای تشخیص نفوذ است زیرا حملات همواره بروز می­شوند و سیستم­های تشخیص نفوذ ستنی نمی­توانند این حملات شناسایی کنند. وقتی نفوذ اتفاق می­افتد مهمترین کار شناسایی است. رخداد مربوط به نفوذ در هر زمان مرتبط به الگویی ازاتفاقات است که در گذشته رخ داده است. این