روش های تشخیص نفوذ
۱-۱-۴-۱) روش تشخیص امضاء[۱] :
روش تشخیص امضاء بر اساس داشتن الگویی از نفوذهای شناخته شده عمل میکند. در این روش، مسأله تشخیص نفوذ به یک مسأله دسته بندی تبدیل میشود و سیستم تشخیص نفوذ قادر است حمله هایی را که پیشتر الگوی آنها را در یک مرحله آموزشی فرا گرفته، تشخیص دهد. مهمترین خصیصه این روش آن است که سیستم امنیتی قادر است حمله های شناخته شده را با دقتی بالا و نرخ هشدار غلط خیلی کمتشخیص دهد. منظور از هشدار غلط هشداری است که هنگام عدم وقوع حمله توسط سیستم تشخیص نفوذ اعمال میگردد. وجود هشدار غلط حتی به میزان کم چنانچه بار ترافیکی عادی شبکه بالا باشد، باعث وقوع هشدارهای متعدد و خسته کننده میگردد. به همین دلیل نرخ تولید هشدار غلط توسط یک سیستم تشخیص نفوذبایستی تا حد امکان پایین باشد. البته ذکر این نکته ضروری است که پایین نگه داشتن نرخ مزبور سببکاهش توانایی سیستم در تشخیص حملات محتمل میگردد. به عبارتی بایستی میان دقت تشخیص بالا و نرخ هشدار غلط پایین نوعی تعادل برقرار نمود.[۶]
۲-۱-۴-۱) روش تشخیص بر اساس ناهنجاری[۲] :
نوع دیگر سیستم های تشخیص نفوذ با نام تشخیص ناهنجاری شناخته میشود. در این سیستم ها مدلی برپایه داده های آماری از فعالیت عادی شبکه ساخته میشود. چنانچه در هر لحظه بار ترافیکی شبکه ازمرزی که بین فعالیتهای عادی و غیر عادی توسط سیستم مشخص شده تخطی کند، سیستم هشداریمبنی بر وقوع حمله میدهد. بدیهی است که سیستم هایی که با این روش پیاده سازی میشوند تواناییتشخیص حمله های جدید را دارند. در عین حال معمولا تعیین مرز میان رفتار عادی و غیر عادی درسیستمهای مزبور کار مشکلی است.
پس می توان گفت تکنیک های مبتنی بر ناهنجاری براین فرض بنا شده که بتوان رفتارهای مخربانه را از رفتارهای عادی سیستم تفکیک کرد[۱۵]
با توجه به انواع روش های ذکر شده برای تشخیص نفوذ به شبکه، مشخص است که هر روش نقاط ضعف وقوت مربوط به خودش را دارا میباشد. دقت بالا در تشخیص حملات و نرخ هشدار غلط پایین از جملهویژگیهای اصلی در روش تشخیص امضاء میباشد. در عین حال روش مزبور توانایی تشخیص حمله های جدید را دارا نمی باشد. روش تشخیص ناهنجاری با وجود داشتن توانایی بالا در تشخیص حمله های جدید،دارای نرخ هشدار غلط بالایی است.
۳-۱-۴-۱) روش ترکیبی[۳] :
در این روش که معمولا روش بهتری محسوب می شود سیستم تشخیص نفوذ مزایای دو حالت قبل را با هم مورد استفاده قرار می دهد. ابتدا سیستم حملات شناخته شده را بر اساس تکنیک های روش مبتنی بر امضاء پیدا می کند و برای سایر حملات جدید که الگویی برای شناسایی آنها در پایگاه اطلاعاتی خود ندارد از روش مبتنی بر ناهنجاری استفاده می کند[[۲۳],[۳۵ .[۳۲],
آقایان Zhang و Zulkernine در [۲۱] یک مدل ترکیبی از سیستم های تشخیص نفوذ ارائه دادند که در واقع با بهره گرفتن از الگوریتم Random Forest ابتدا حملات شناخته شده را از طریق ماژول مبتنی بر امضاء پیدا می کند و سپس حملات خارج از پایگاه اطلاعاتی را با بهره گرفتن از همان الگوریتم و ماژول مبتنی بر ناهنجاری پیدا می کند. برای ارزیابی از مجموعه داده KDDCUP 1999 استفاده کرد که نتایج حاکی از آن است این سیستم ترکیبی ۹۴٫۷ درصد حملات را با تنها حدود ۲ درصد نرخ هشدار غلط توانسته پیدا کند.
[۱] Signature Detection
[۲] Anomaly Detection
[۳] Hybrid