چکیده:
یکی از تهدیدات اساسی درفضای سایبر، بدافزارهای پیچیدهای میباشد که به قصد جاسوسی و تخریب سامانهها در زیرساختهای حیاتی کشور گسترش یافته است. آنچه در این مقاله ارائهشده روشی هوشمند در کشف کرمهای نهانی میباشد که میتواند چندریختی و رمزشده بوده و ماهیت آنها هنوز برای ابزارهای دفاعی ناشناخته باقی مانده است. برای این منظور با تأکید بر ویژگیهای پویش کرم، مدل ارتباطات میزبانهای آلوده و سرآیند بستههای ارسالی روی بستر شبکه، راهکاری مبتنی بر روشهای دادهکاوی در کشف گسترشهای مخرب ارائه نمودیم. با خوشهبندی دادههای پاک و استفاده از ردهبندی دادههای پاک و آلوده و بهکارگیری نمونههای آزمایشگاهی توانستیم بهترین مدل را به کمک روش درخت تصمیم C5 با صحت % 49/94، دقت %92/92 و با بازخوانی %70/94 در کشف بستههای آلوده از پاک ارائه نماییم. در نهایت نیز نشان دادیم که استفاده از خوشهبندی در الگوهای ترافیک میزبانهای پاک نتایج بهتری را در شناخت ترافیکهای آلوده بهدست میآورد.
Complex malwares which infiltrate systems in a country’s critical infrastructure with the purpose of destruction or espionage are major threats in cyber space. What is presented in this article is a smart solution to discover zero day worms which can be polymorphic and encrypted and their nature is still unknown to defense tools.To do this, we first outlined our desirable detector and then presented a solution based on data mining methods for detecting malicious extensions with the emphasis on worm’s scanning feature, communication model of the infected hosts and the packets’ headers transmitted across the network.By clustering clean data, and using clean and contaminated data classifications, experimental samples and the C5 decision tree, we managed to present the best model with an accuracy of 94.49%, precision of 92.92%, and a recall of 94.70% in identifying infected packages from the clean ones. Finally, we also showed that the use of clustering in the patterns of clean hosts’ traffic could reach better results in identifying infected traffic.
خلاصه ماشینی:
برای این منظور در مرحله نخست به بررسی انواع کرمها و روشهای تشخیص و مقابله با آنها خواهیم پرداخت سپس کارایی تشخیصدهندگان موجود کرم را مورد ارزیابی قرار میدهیم در این راه حل قصد داریم تا به کمک دادهکاوی و استخراج ویژگیهای مناسب از بسته-های ترافیک شبکه یک تشخیصدهنده هوشمند بهمنظور تشخیص کرمهای نهان در شبکههای رایانهای ارائه نماییم در این مدل ضمن استخراج ویژگیهای مورد نیاز در عملیات اصلی، تلفیقی از عملیات خوشهبندی و ردهبندی را انجام داده و نتایج بهدستآمده را مورد ارزیابی قرار میدهیم.
به کمک روشهای خوشهبندی عملیات متوازنسازی صورت پذیرفته و با استفاده از ردهبندی بهترین روش در کشف بستههای آلوده ارائه میگردد در انتهای این بخش نیز بر اساس بهکارگیری خوشهبندی بر روی بستههای پاک و ردهبندی آنها مدل، اصلاح شده و نتایج به کمک شاخصههای ارزیابی تشریح می-شوند.
ردهبندی هدف این بخش بهکارگیری روشهای ردهبندی در تشخیص میزبانهای آلوده و پاک میباشد برای این منظور سه روش ماشین بردار پشتیبان، درخت تصمیم و شبکههای عصبی مصنوعی بهعنوان روشهای ردهبندی مورد استفاده قرار دادیم نتایج را یکبار در وضعیت عدم استفاده از خوشهبندی و بهکارگیری متوازنسازی تصادفی و بار دیگر در حالت بهکارگیری خوشهبندی بهدست آورده و آنها را ارزیابی نمودیم.
جدول (2): بهکارگیری ماشین بردار پشتیبان بدون اتکا به (رجوع شود به تصوير صفحه) بهکارگیری شبکههای عصبی MLP به کمک متوازنسازی تصادفی در این وضعیت نیز مانند روش قبل فارغ از عملیات خوشهبندی ارزیابی خود را انجام میدهیم، همانطور که ملاحظه مینمایید از مجموع 1522 بسته مورد ارزیابی تعداد 1359 مورد بهدرستی متعلق به منبع پاک یا آلوده شناسایی شده که صحت مدل برابر 29/89% میگردد.