کاربرد الگوریتم رگرسیون منطقی جهت تشخیص حملات شبکه

1. کاربرد الگوریتم رگرسیون منطقی جهت تشخیص حملات شبکه استاد: آقای دکتر رهگذر دانشجو: لیلا سید حسین تابستان 1388

2. رگرسیون منطقی • رگرسیون خطی • گاهی اوقات متغیر پاسخ، متغیری دو حالتهاست. • از طرف دیگر متغیرهای پیشگو که می توان تاثیر آنها را بر متغیر پاسخ سنجید ممکن است کمی باشند. • در این صورت استفاده از مدل خطی امکان پذیر نیست چرا که طرف چپ تساوی در رابطه خطی فقط مقادیر 0و1 را اختیار می کند در حالی که طرف راست تساوی از نظر تئوری می تواند هر مقداری از منفی بینهایت تا مثبت بینهایت اختیار کند. • رگرسیون منطقی راه حلی برای اینگونه شرایط می باشد.

3. رگرسیون منطقی Odds Ratio logit of P(y)

4. تخمین ضرایب • رگرسیون خطی • کمترین مجموع مربعات • رگرسیون منطقی • بیشترین احتمال (Maximum Likelihood)

5. داده بکار رفته • در این تحقیق از داده های KDD Cup 1999استفاده شده است. • این داده ها نسخه ای است از دیتاستی است که توسط آزمایشگاه Lincoln از دانشگاه MIT تحت عنوان DARPA 1998و با هدف تحقیق در زمینه تشخیص حملات شبکه فراهم شد. • این دیتاست شامل تعداد زیادی اتصالات نرمال و حملات است که در محیطی شبیه سازی شده از یک شبکه محلی نیروی هوایی آمریکا در مدت 9 هفته بدست آمده است

6. داده بکار رفته (ادامه) • حملات در چهار گروه اصلی دسته بندی می شوند: • DOS (Denial of Service Attacks) • دراین نوع حمله، مهاجم تعداد زیادی درخواست به یک میزبان ارسال می کند. • U2R (User to Root Attacks) • در این نوع حمله، مهاجم سعی دارد از یک ماشین خارجی دسترسی غیر مجازی فرضا برای دستیابی به Root سیستم پیدا کند. • R2L (Remote to User Attacks) • در این نوع حمله، مهاجم سعی دارد که از با استفاده از نقاط آسیب پذیر سیستم، کنترل یک ماشین خارجی را از طریق شبکه به عنوان یک کاربر محلی بدست آورد. • Probing • در این نوع حمله، مهاجم سعی دارد به منظور تجسس، اطلاعاتی را در مورد ماشین ها و سرویس های شبکه بدست آورد.

7. داده بکار رفته (ادامه)

8. داده بکار رفته (ادامه) • در این تحقیق از دیتاستی که شامل 10% از کل داده هاست به عنوان داده های آموزشی استفاده شده است. این دیتاست شامل 494.021 رکورد می باشد. • داده هـای تستی شامـل 311.029 رکورد می باشد. • هر اتصال با 41 فیلد تعریف می شود و یک برچسب که مشخص کننده نوع اتصال است. نوع اتصال یا نرمال است و یا یکی از 22 نوع حمله.

9. داده بکار رفته (ادامه) • در این تحقیق برای موارد نرمال و حملات نوع DOSبه طور کلی و به تفکیک هر نوع حمله مدل رگرسیون را بدست آورده ایم. • برای هر مورد برچسب رکوردهای مورد نظر 1 و برچسب سایر رکوردها 0 در نظر گرفته شده اند. • از ابزار SPSS استفاده شده است. • نتایج بدست آمده با نتایج KDD Cup 1999و دو مرجع دیگر مقایسه شدند

10. نحوه انتخاب مشخصه ها • با استفاده از نتایج تحقیق زیرکه میزان ارتباط مشخصه ها با نوع حملات را ارزیابی کرده است: Selecting Features for Intrusion Detection: A Feature Relevance Analysis on KDD 99 Intrusion Detection Datasets • با استفاده از روش سعی و خطا

11. مشخصه های انتخابی برای هر نوع حمله

12. شرح مشخصه های انتخابی

13. خروجی SPSS برای حمله نوع DOS

14. نتایج برنده مسابقه KDD Cup 1999

15. مقایسه نتایج

16. مراجع • http://www.kdd.org/kddcup/index.php?section=1999&method=data • Anup Goyal, Chetan Kumar; GA-NIDS: A Genetic Algorithm based Network Intrusion Detection System. • H. Günes Kayacık, A. Nur Zincir-Heywood, Malcolm I. Heywood; Selecting Features for Intrusion Detection: A Feature Relevance Analysis on KDD 99 Intrusion Detection Datasets; Proceedings of the Third Annual Conference on Privacy, Security and Trust, October 2005, St. Andrews, Canada. • S. Selvakani, R.S.Rajesh; Genetic Algorithm for framing rules for Intrusion Detection; International Journal of Computer Science and Network Security, Vol.7 No.11, November 2007. • Maath. K. Al-anni,V. Sundarajan; Detecting a denial of service using artificial intelligent tools, genetic algorithm; Indian Journal of Science and Technology,Vol.2 No 2, Feb. 2009. • Yun Wang; A multinomial logistic regression modeling approach for anomaly intrusion detection; Computer& Security Vol 24, Issue8, November 2005.