تشخیص نفوذ در شبکه‌های رایانه‌ای با استفاده از مدل مخفی مارکوف تکاملی

سامانه‌های تشخیص نفوذ، وظیفه شناسایی و تشخیص هر‌گونه ورود غیرمجاز به سیستم، سوء استفاده و یا آسیب‌رسانی را بر عهده دارند، که با استفاده از تحلیل بسته‌های شبکه، قادر به پیش‌گیری از حملات سایبری است. در حال حاضر یکی از چالش‌های عمده در استفاده از این ابزار کمبود الگوهای آموزشی حملات در بخش موتور تحلیل است، که باعث عدم آموزش کامل موتور تحلیل و در‌نتیجه تولید حجم بالایی از هشدارهای غلط خواهد شد. از طرفی بالا‌بودن زمان آموزش سامانه‌های تشخیص نفوذ، موجب تاخیر قابل توجهی در بخش آموزش سامانه به همراه خواهد داشت. پژوهش پیش رو نیز تلاشی است برای ارائه یک راه‌کار تشخیص نفوذ مبتنی بر امضا با محوریت مدل مخفی مارکوف تکاملی با نام ehmm که در راستای غلبه بر چالش‌های مطرح‌شده ارائه شده است. مهم‌ترین بخش مدل مخفی مارکوف، تنظیم مقادیر پارامترهای آن است که هر چه این مقادیر بهینه‌تر باشند، مدل مخفی مارکوف با دقت بیشتری قادر به پیش‌بینی احتمال مقادیر بعدی خواهد بود؛ لذا در این پژوهش سعی شده است بر مبنای تحلیل مجموعه‌داده nsl-kdd  با استفاده از الگوریتم برنامه‌نویسی تکاملی، پارامترهای بهینه را برای مدل مخفی مارکوف انتخاب کرده و به نوعی آن را تعلیم دهیم؛ سپس با بهره‌گیری از آن، انواع حملات موجود در مجموعه‌داده را شناسایی کنیم. برای ارزیابی میزان موفقیت مدل پیشنهادی ehhm در ارتقای درصد صحت تشخیص نفوذ، سامانه پیشنهادی و همچنین روش قبلی در محیط شبیه‌سازی matlab پیاده‌سازی شده‌اند. نتایج پژوهش نشان می‌دهد، مدل ehmm، درصد تشخیص نفوذ را از متوسط 87% (در استفاده از مدل مخفی مارکوف معمولی) به بیش از 92% (در استفاده از مدل مخفی مارکوف تکاملی) افزایش می‌دهد. همچنین پس از آموزش کامل داده آموزشی به هر دو روش مبتنی بر مدل مارکوف معمولی و تکاملی، زمان آموزش سامانه مورد نظر برای یک مجموعه‌داده حدود شامل دویست‌هزار رکوردی، از متوسط 489 دقیقه در روش معمولی به کم‌تر از چهارصد دقیقه در روش پیشنهادی کاهش یافته است. حصول این نتیجه و عملیاتی‌کردن آن در سامانه‌های تشخیص نفوذ، می‌تواند موجب ارتقای توان دفاعی کشور در مقابل هجمه‌های سایبری دشمن شود.

Intrusion Detection Using Evolutionary Hidden Markov Model

Intrusion detection systems are responsible for diagnosing and detecting any unauthorized use of the system, exploitation or destruction, which is able to prevent cyber-attacks using the network package analysis. one of the major challenges in the use of these tools is lack of educational patterns of attacks on the part of the engine analysis; engine failure that caused the complete training,  the result is in production of high volumes of false warnings. On the other hand, the high level of intrusion detection training time will cause a significant delay in the training system. Therefore, in the analysis section of the intrusion detection system, we need to use an algorithm that shows significant performance with the least educational data, hidden Markov model is one of these successful algorithms in this field.This Research also is trying to provide a misuse based intrusion detection solution with the focus of the evolutionary Hidden Markov model, the EHMM, which is designed to overcome the challenges posed. The most important part of hidden Markov model is to adjust the values of the parameters, the more adjusted values, optimal values would be more effective. The hidden Markov model is more likely to predict the probability of future values.  Therefore, it has been trying to end the mail based on the causative analysis of NSL data sets-KDD using evolutionary programming algorithm for hidden Markov model for the optimal parameters and sort of teach it. Then, using it, the types of attacks in the dataset were identified. To evaluate the success rate in improving the accuracy percentage EHMM proposal intrusion detection, MATLAB System simulation environment has been implemented. The results of the investigation show fitted, EHMM plan, the percentage of the average is 87% of intrusion detection (if hidden Markov model is used normal) to over 92% (in the case of the hidden Markov model using evolutionary) increases. Also after training the training data in both methods based on conventional and evolutionary Markov model, the time of the target system for a training data set is approximately two hundred thousand record from  low average of 489 minutes to more than 400 minutes has been dropped in the proposed method. This outcome achievement and making it operational on intrusion detection for the native system, can cause a defensive improvement which can be fitted in front of the other country for hostile cyber.