|
|
|
|
تشخیص حملات سایبری پیشرفته با استفاده از مدلسازی رفتاری مبتنی بر پردازش زبان طبیعی
|
|
|
|
|
|
|
|
نویسنده
|
داداش تبار احمدی کوروش ,خیرخواه مرجان ,رشیدی علی جبار
|
|
منبع
|
پدافند الكترونيكي و سايبري - 1397 - دوره : 6 - شماره : 3 - صفحه:141 -151
|
|
چکیده
|
رشته حملات پیچیده و ماندگار نفوذ به شبکه از مراحل نامحسوس و مخفی متعددی تشکیل شدهاند. یکی از دلایل ناکارآمدی سامانه های تشخیص نفوذ در برابر این حملات، استفاده از سازوکار دفاعی مبتنی بر آنالیز ترافیک شبکهای سطح پایین است که در آن به روابط پنهان بین هشدارها توجه نمیشود. فرض ما این است که اطلاعات ساختاری پنهان در دادههای ترافیکی وجود دارند و ما میخواهیم در ترافیک شبکهای قواعدی مانند قواعد زبان تعریف کنیم و آن را برای توصیف الگوهای فعالیتهای شبکهای بدخواهانه به کار بگیریم. به این وسیله می توانیم مسئله کشف الگوهای سوء استفاده و ناهنجاری را همانند مسئله یادگیری ساختارهای نحوی و قطعات مفهومی زبان شبکهحل کنیم. در این مقاله برای مدلسازی در مرحله تولید دنبالهها برای اولین بار در حوزه سایبری از یک خوشهبندی جدید بهعنوان خوشهبندی md_dbscan که یکی از انواع بهبودیافته خوشهبندی dbscan است، استفاده شده است. علاوه بر این، از یک الگوریتم حریصانه با الهام از القاء گرامر در پردازش زبان طبیعی استفاده شده تا با ادغام فعالیتهای سطح پایین بتوانیم فعالیتهای سطح بالا را کشف کنیم و روابط بین فعالیتهای سطوح مختلف را تعریف کنیم. در بخشی از الگوریتم پیشنهادی برای کشف فعالیتهای سطح بالا، برای اولین بار معیار شباهت ویرایش در خوشهبندی سلسله مراتبی به معیارهای موجود در الگوریتم پایه اضافه شده است. نتایج نشان میدهد دقت تشخیص در فعالیتهای سطح بالا نسبت به فعالیتهای سطح پایین با توجه به نمودار roc حدود 30 % بیشتر است. همچنین، با تنظیم بهترین حد آستانه در الگوریتم تشخیص حملات، با درنظرگرفتن معیار f1 ، برای لغات سطوح یک تا سه به ترتیب به نتایج 72.3 و 96.2 و 96.4 در پنجره پیشبینی با اندازه سه رسیدهایم که بهطورکلی حدود 2/. نسبت به الگوریتم پایه بهبود نشان میدهد.
|
|
کلیدواژه
|
رفتار، حملات ماندگار پیشرفته، حملات سایبری، ادغام داده، پردازش زبان طبیعی
|
|
آدرس
|
دانشگاه صنعتی مالک اشتر, ایران, دانشگاه صنعتی مالک اشتر, ایران, دانشگاه صنعتی مالک اشتر, ایران
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Detection of advanced Cyber Attacks, Using Behavior Modeling Based on Natural Language Processing
|
|
|
|
|
Authors
|
|
|
Abstract
|
The complex and persistent attacks of network have been made up of numerous hidden stages. One of the reasons for the ineffectiveness of intrusion detection systems against these attacks is the use of a defense mechanism based on lowlevel network traffic analysis, in which the hidden relationships between alerts are not addressed. Our assumption is that there is a hidden structural information in traffic data, and we want to define rules in network traffic similar to linguistic rules and use it to describe the patterns of malicious network activity. In this way, the discovery of misuse and anomalous patterns can be well treated as the problem of learning syntactic structures and semantic fragments of the “network language”. In this paper, for the first time in cybersecurity, a new clustering is used named as the clustering of MD_DBSCAN; one of the most advanced types of DBSCAN clustering. In addition, a greedy algorithm inspired by the induction of grammar in natural language processing has been used to recgnize highlevel activities and define the relations between activities in different levels, by integrating lowlevel activities. In the recognition section of highlevel activities of the proposed algorithm, for the first time, similarity edition criterion in hierarchical clustering has been added to the existing criteria in the base algorithm. According to ROC curves the results show that the accuracy of detection in higherlevel activities are about 30% higher than lowlevel activities. Also by choosing the best setting for threshold parameters in attack detection algorithms, we had the highest F1 score in different levels from 1 to 3: 72.3 , 96.2, 96.4. which means that in general we have had the improvement of about 0.2 compared to the base algorithm.
|
|
Keywords
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|