ترکیب یادگیری نیمه‌نظارتی و فعال برای دسته‌بندی جویبارِ داده‌های نامتعادل در سیستمهای تشخیص نفوذ مبتنی بر ناهنجاریِ شبکه‌ای

SUPERVISOR
Seyed Rasul Moosavi,Abdolreza Mirzaei,Ali Fanian
سید رسول موسوی (استاد راهنما) عبدالرضا میرزایی دمابی (استاد مشاور) علی فانیان (استاد راهنما)
 
STUDENT
Fakhroddin Noorbehbahani
سید فخرالدین نوربهبهانی

FACULTY - DEPARTMENT

دانشکده مهندسی برق و کامپیوتر
DEGREE
Doctor of Philosophy (PhD)
YEAR
1389

TITLE

Combining Semi-supervised Learning and Active Learning to Classify Imbalanced Data Streams for Anomaly-based NIDS
In recent years, the utilization of machine learning and data mining techniques in anomaly-based intrusion detection systems (AIDSs) has received a great attention by both security research communities and intrusion detection system developers. To design and build an accurate and high-performance AIDS based on machine learning techniques, it is important to consider inherent constraints and requirements in the intrusion detection domain. The most important constraints are the imbalanced justify; LINE-HEIGHT: normal; MARGIN: 0in 0in 0pt; unicode-bidi: embed; DIRECTION: ltr" Key Words Intrusion detection, incremental clustering, imbalanced data, stream ltr"
امروزه استفاده از روش‌های یادگیری ماشین و داده‌کاوی به منظور تشخیص نفوذ مبتنی بر ناهنجاری از مهمترین موضوعات تحقیقاتی در حوزه‌ی امنیت اطلاعات محسوب می‌گردد. برای ساخت یک سیستم تشخیص نفوذِ دقیق ، کارا و مبتنی بر روش‌های یادگیری ماشین‌، در نظر گرفتن محدودیت‌ها و چالش‌های خاصِ این حوزه ضروری است. از جمله مهم‌ترین این چالش‌ها می‌توان به نا‌‌‍‌متعادل بودن داد‌ه‌ها، محدودیت نمونه‌های برچسب‌ زده شده و حجم زیاد داده‌های ورودی اشاره نمود. ‌بعلاوه بدلیل ماهیت بسیار پویا و جویباری داده‌های ورودی، نتیجه استفاده از روش‌های معمولِ یادگیری ماشین، ایجاد سیستم تشخیص نفوذی است که به مرور زمان کارایی خود را از دست خواهد داد. در این رساله یک روش دسته‌بندی جدید نیمه‌نظارتیِ جویبار داده‌های نامتعادل برای تشخیص نفوذ ارائه شده است که قابلیت دسته‌بندی و به روزرسانی توسط نمونه‌های محدودِ برچسب خورده بصورت افزایشی را دارا است. در این روش نمونه‌های ورودی بصورت افزایشی خوشه‌بندی و سپس با استفاده از یادگیری نمونه‌مبنا و نمونه‌های محدودِ ذخیره شده، دسته‌بندی می‌گردند. روش تشخیص نفوذ ِ پیشنهادی شامل دو مرحله‌ی برون‌خط‌ و بر‌خط می‌باشد که در هر دو مرحله خوشه‌بندی افزایشی انجام می‌شود. برای خوشه‌بندی افزایشی روشِ جدیدی پیشنهاد شده که از داده‌های مخلوط‌ به صورت مستقیم پشتیبانی کرده و از معیار مناسبی برای یافتن تعداد خوشه‌های مورد نیاز بصورت خودکار بهره می‌برد. در مرحله‌ی برون‌خط ابتدا خوشه‌بندی انجام شده سپس خوشه‌های حاصل بصورت نظارتی توسط یک روش پیشنهادی تنظیم می‌شوند و مراکز برچسب خورده‌ی این خوشه‌ها به عنوان مدل اولیه‌ی دسته‌بندی در نظر گرفته می‌شوند. در مرحله برخط خوشه‌های حاصل به‌صورت افزایشی به روز شده و نمونه‌های جدید پس از دسته‌بندی، مدل دسته‌بندی را به‌روز می‌کنند. برای دسته‌بندی جویبار داده‌ها، روشی جدید برای یادگیری فعال پیشنهاد شده است که با استفاده از آن نمونه‌هایی که دارای ارزش اطلاعاتی زیاد هستند تشخیص داده شده و پس از بدست آوردن برچسب‌ها، از آن‌ها برای یادگیری نیمه‌نظارتی استفاده می‌شود. علاوه بر این، روش پیشنهادی دسته‌بندی از رانش مفهوم و تکامل مفهوم پشتیبانی می‌کند. روش پیشنهادی با شاخص‌ترین روش‌های افزایشی و غیرافزایشی تشخیص نفوذ با استفاده از مجموعه‌ داده‌های معتبر و معیارهای ارزیابی استاندارد مقایسه شده است. نتایج بدست آمده نشانگر کارایی بالای روش پیشنهادی در مقایسه با بهترین روش‌های موجود، ضمنِ رعایت محدودیت‌های حوزه‌ی تشخیص نفوذ است. کلمات کلیدی : تشخیص نفوذ، جریان ترافیک شبکه، دسته‌بندی جویبارداده، یادگیری افزایشی، یادگیری نیمه‌‌نظارتی، یادگیری فعال، رانش مفهوم، تکامل مفهوم، خوشه‌بندی افزایشی مخلوط، تنظیم نظارتی خوشه‌ها، داده‌های نامتعادل.

ارتقاء امنیت وب با وف بومی