استخراج آنتولوژی به روش داده کاوی به منظور استفاده در سیستم تشخیص نفوذ همکارانه

امروزه با گسترش شبکه¬های کامپیوتری، بحث امنیت شبکه بیش از گذشته مورد توجه پژوهشگران قرار گرفته است. در این راستا تشخیص نفوذ به¬عنوان یکی از اجزای اصلی برقراری امنیت در شبکه¬های کامپیوتری شناخته می¬شود که هدف اصلی آن کنترل ترافیک شبکه و تحلیل رفتارهای کاربران می¬باشد. به¬طور کلی در اغلب کارهای انجام گرفته در این حوزه از یک تاکسونومی جهت نمایش ویژگی حملات استفاده شده است. بکارگیری تاکسونومی مشکلات و محدودیت¬های فراوانی در سیستم تشخیص نفوذ ایجاد می¬کند که برای جلوگیری از بروز آنها می¬توان از یک آنتولوژی جهت طبقه¬بندی و بیان ویژگی حملات استفاده نمود. آنتولوژی علاوه بر دارا بودن ویژگی¬های تاکسونومی مزایای عمده دیگری نیز دارد و با استفاده از آن می¬توان مدل داده¬ای تشخیص نفوذ را از منطق سیستم کشف نفوذ تفکیک نمود. از این¬رو هدف اصلی این تحقیق بر روی استخراج آنتولوژی حملات در حوزه¬ی تشخیص نفوذ شبکه¬های کامپیوتری بنا شده است. بدین منظور یک معماری توزیع شده مبتنی بر عامل طراحی شده است، و از تکنیک-های داده¬کاوی متفاوتی مانند الگوریتم¬های طبقه¬بندی ripper و خوشه¬بندی hotspot بر روی مجموعه¬ی داده¬ای nsl-kdd استفاده می¬شود. با بهره¬گیری از این الگوریتم¬ها می¬توان قوانین لازم جهت مشخص نمودن ویژگی کلاس¬های مختلف آنتولوژی حملات را تولید نمود. آنتولوژی بدست آمده به عنوان یک طبقه¬بند در سیستم تشخیص نفوذ توزیع شده به¬کار گرفته می¬شود. بدین منظور آنتولوژی حملات در قالب یک فایل owl در اختیار عامل مرکزی قرار می¬گیرد. وظیفه عامل مرکزی این است که گزارش عامل¬های ایستا را دریافت کرده و با بهره¬گیری از زبان پرس¬و¬جوی sparql و تکنیک¬های تشابه معنایی، کلاس مربوط به نمونه¬ی دریافتی را در آنتولوژی حملات مشخص کند. ارزیابی سیستم پیشنهادی بر روی مجموعه داده¬ای nsl-kdd حاکی از قدرت آن در تشخیص نفوذ شبکه¬های کامپیوتری می¬باشد. به¬طوری که با بهره¬گیری از این سیستم می¬توان به نرخ تشخیص 99/2% همراه با نرخ هشدار غلط 0/2 دست یافت.