رویکرد آماری نیمه نظارتی برای تشخیص ناهنجاری در شبکه

سیستمهای تشخیص نفوذ (IDS) به یکی از مهمترین موارد استفاده در برابر تهدیدهای امنیتی مبدل شده اند. در سالهای اخیر شبکه های کامپیوتری در مقیاس وسیعی برای سیستم های پیچیده و مهم مورد استفاده قرار میگیرند و همین موضوع آنها را بیش از پیش در برابر حملات شبکه ای آسیب پذیر میکند. در این مقاله دو روش آماری نیمه نظارتی دو مرحله ای را برای تشخیص ناهنجاری (SSAD) ارائه می دهیم. اولین مرحله SSAD با هدف ایجاد مدل احتمالی در شرایط معمولی ارائه شده و انحراف هایی را اندازه می گیرد که از یک آستانه تعیین شده فراتر میروند. این آستانه از یک تابع مبین بیشینه احتمال (ML) کم میشود. هدف دومین مرحله، کاهش نرخ هشدار کاذب (FAR) از طریق فرآیندی تکراری است که خوشه ناهنجاری را از همان مرحله ابتدایی و با استفاده از میزان شباهت و نرخ پراکندگی طبقه بندی میکند. روش پیشنهادی را با استفاده از مجموعه داده شناخته شدهNSL-KDD و Kyoto ۲۰۰۶+ ارزیابی می کنیم. نتایج آزمایش نشان میدهد که SSAD از نظر نرخ تشخیص و نرخ مثبت کاذب عملکرد بهتری نسبت به روشهای بیز ساده (Naïve Bayes) به دست می آورد.