شناسایی خودکار حملات روز صفر با رویکرد چندفازی در تولید امضاهای Snort

با رشد روزافزون تهدیدات سایبری و پیچیده تر شدن الگوهای نفوذ توانمندسازی سامانه های تشخیص نفوذ (IDS) برای شناسایی تهدیدات نوظهور ضرورتی اساسی یافته است. حملات روز صفر به دلیل فقدان امضا در پایگاه داده، از چالش برانگیزترین تهدیدات محسوب می شوند. هدف این پژوهش ارائه چارچوبی سه مرحله ای است که با ترکیب خوشه بندی مبتنی بر ماشین بردار پشتیبان (SVM) بهینه و شبکه عصبی عمیق (DNN)، فرایند تولید امضای Snort را به صورت خودکار و بلادرنگ انجام می دهد. در مرحله نخست داده های ترافیک شبکه از مخازن معتبر CICIDS و UNSW-NB۱۵ استخراج و با نرمال سازی و کاهش ابعاد آماده سازی می شوند. سپس SVM بهینه شده با هسته RBF جریان ها را به خوشه های مشکوک و غیرمشکوک تفکیک می کند. در مرحله دوم بر روی خوشه مشکوک DNN چندلایه با فعال ساز ReLU و Softmax و مکانیزم Dropout آموزش می یابد تا الگوهای عمیق حملات استخراج شوند. نهایتا، خروجی مدل به قواعد Snort با شناسه یکتا و متاداده لازم نگاشت شده و مستقیما به پایگاه قوانین IDS افزوده می شود. ارزیابی ها نشان داد که این رویکرد نرخ تشخیص حملات روز صفر را نسبت به Snort پایه تا ۲۳% افزایش داده و نرخ مثبت کاذب را ۱۴% کاهش داده است. همچنین، تولید و افزودن امضا به Snort به طور میانگین کمتر از ۵ ثانیه طول کشیده که امکان واکنش بلادرنگ را فراهم می سازد. اهمیت کاربرد نتایج این روش در محیط های عملیاتی با ترافیک بالا و تهدیدات پویا نمایان می شود چرا که می تواند جایگزینی هوشمند، سریع و کم هزینه برای فرآیند دستی به روزرسانی امضاها باشد و مسیر را برای نسل آینده IDSهای خودکار و انطباق پذیر هموار کند.