آمار
| تعداد نشریات | 36 |
| تعداد شمارهها | 1,192 |
| تعداد مقالات | 8,579 |
| تعداد مشاهده مقاله | 6,988,737 |
| تعداد دریافت فایل اصل مقاله | 4,032,599 |
تشخیص حملات سایبری پیشرفته با استفاده از مدلسازی رفتاری مبتنی بر پردازش زبان طبیعی | ||
| پدافند الکترونیکی و سایبری | ||
| مقاله 12، دوره 6، شماره 3 - شماره پیاپی 23، آذر 1397، صفحه 141-151 اصل مقاله (1.18 M) | ||
| نوع مقاله: مقاله پژوهشی | ||
| نویسندگان | ||
| کوروش داداش تبار احمدی* ؛ مرجان خیرخواه؛ علی جبار رشیدی | ||
| مالک اشتر | ||
| تاریخ دریافت: 24 دی 1396، تاریخ بازنگری: 19 اردیبهشت 1397، تاریخ پذیرش: 06 خرداد 1397 | ||
| چکیده | ||
| رشته حملات پیچیده و ماندگار نفوذ به شبکه از مراحل نامحسوس و مخفی متعددی تشکیل شدهاند. یکی از دلایل ناکارآمدی سامانههای تشخیص نفوذ در برابر این حملات، استفاده از سازوکار دفاعی مبتنی بر آنالیز ترافیک شبکهای سطح پایین است که در آن به روابط پنهان بین هشدارها توجه نمیشود. فرض ما این است که اطلاعات ساختاری پنهان در دادههای ترافیکی وجود دارند و ما میخواهیم در ترافیک شبکهای قواعدی مانند قواعد زبان تعریف کنیم و آنرا برای توصیف الگوهای فعالیتهای شبکهای بدخواهانه بهکار بگیریم. به این وسیله میتوانیم مسئله کشف الگوهای سوء استفاده و ناهنجاری را همانند مسئله یادگیری ساختارهای نحوی و قطعات مفهومی "زبان شبکه" حل کنیم. در این مقاله برای مدلسازی در مرحله تولید دنبالهها برای اولین بار در حوزه سایبری از یک خوشهبندی جدید بهعنوان خوشهبندی MD_DBSCAN که یکی از انواع بهبودیافته خوشهبندی DBSCAN است، استفاده شده است. علاوهبر این، از یک الگوریتم حریصانه با الهام از القاء گرامر در پردازش زبان طبیعی استفاده شده تا با ادغام فعالیتهای سطح پایین بتوانیم فعالیتهای سطح بالا را کشف کنیم و روابط بین فعالیتهای سطوح مختلف را تعریف کنیم. در بخشی از الگوریتم پیشنهادی برای کشف فعالیتهای سطح بالا، برای اولین بار معیار شباهت ویرایش در خوشهبندی سلسله مراتبی به معیارهای موجود در الگوریتم پایه اضافه شده است. نتایج نشان میدهد دقت تشخیص در فعالیتهای سطح بالا نسبت به فعالیتهای سطح پایین با توجه به نمودار ROC حدود 30 % بیشتر است. همچنین، با تنظیم بهترین حد آستانه در الگوریتم تشخیص حملات، با درنظرگرفتن معیار F1 ، برای لغات سطوح یک تا سه به ترتیب به نتایج 3/72 و 2/96 و 4/96 در پنجره پیشبینی با اندازه سه رسیدهایم که بهطورکلی حدود 2/. نسبت به الگوریتم پایه بهبود نشان میدهد. | ||
| کلیدواژهها | ||
| رفتار؛ حملات ماندگار پیشرفته؛ حملات سایبری؛ ادغام داده؛ پردازش زبان طبیعی | ||
| عنوان مقاله [English] | ||
| Detection of advanced Cyber Attacks, Using Behavior Modeling Based on Natural Language Processing | ||
| نویسندگان [English] | ||
| Koroosh Dadashtabar Ahmadi؛ Marjan Kheirkhah؛ Ali Jabbar Rashidi | ||
| چکیده [English] | ||
| The complex and persistent attacks of network have been made up of numerous hidden stages. One of the reasons for the ineffectiveness of intrusion detection systems against these attacks is the use of a defense mechanism based on low-level network traffic analysis, in which the hidden relationships between alerts are not addressed. Our assumption is that there is a hidden structural information in traffic data, and we want to define rules in network traffic similar to linguistic rules and use it to describe the patterns of malicious network activity. In this way, the discovery of misuse and anomalous patterns can be well treated as the problem of learning syntactic structures and semantic fragments of the “network language”. In this paper, for the first time in cybersecurity, a new clustering is used named as the clustering of MD_DBSCAN; one of the most advanced types of DBSCAN clustering. In addition, a greedy algorithm inspired by the induction of grammar in natural language processing has been used to recgnize high-level activities and define the relations between activities in different levels, by integrating low-level activities. In the recognition section of high-level activities of the proposed algorithm, for the first time, similarity edition criterion in hierarchical clustering has been added to the existing criteria in the base algorithm. According to ROC curves the results show that the accuracy of detection in higher-level activities are about 30% higher than low-level activities. Also by choosing the best setting for threshold parameters in attack detection algorithms, we had the highest F1 score in different levels from 1 to 3: 72.3 , 96.2, 96.4. which means that in general we have had the improvement of about 0.2 compared to the base algorithm. | ||
| کلیدواژهها [English] | ||
| Behavior, Advanced Persistent Threats, Cyber Attacks, Data Fusion, Natural Language Processing | ||
| مراجع | ||
|
[1] R. Kremmerer and G. Vigna, “Intrusion Detection: A Brief History and Overview,” 2002. [2] D. Marc Dacier and A. wespi, “Towards a taxonomy of intrusion-detection systems,” 1999. [3] A. Sperotto G. Schaffrath, R. Sadre, C. Morariu, A. Pras, and B. Stiller, “An Overview of IP Flow-Based Intrusion Detection,” pp. 343-356, 2010. [4] W. Lee, S. J. Stolfo, “A Framework for Constructing Features and Models for Intrusion Detection Systems,” ACM Transaction on Information and System Security 3, pp. 227-261, 2000. [5] X. Yan and J. Ying Zhang, “Early Detection of Cyber Security Threats using Structured Behavior Modeling,” ACM Transaction on Information and System Security, vol. V, 2013. [6] A. Lakhina, M. Crovella, and C. Diot, “Diagnosing network-wide traffic anomalies,” New York : s. n, conference on Applications, technologies, architectures, and protocols, pp. 219-230, 2004.
[7] M. Saniee Abadeh, J. Habibi, and C. Lucas,” Intrusion detection using a fuzzy genetics-based learning algorithm,” pp. 414-428, 2007. [8] G. Wang, J. Hao, J. Ma, and L. Huang, “A new approach to intrusion detection using Artificial Neural Networks and fuzzy clustering,” pp. 6225–6232, 2010. [9] A. J. Rashidi, K. Dadashtabar Ahmadi, and F. Samsami Khodadad, “Projection of Multistage Cyber Attack Based on Belief Model and Fuzzy Inference,” Journal of electronical & cyber defence, vol. 3, no. 2, 2015. (In Persian) [10] B. Thomas Adler, L. de Alfaro, S. M. Mola-Velasco, P. Rosso, and A. G. West, “Wikipedia Vandalism Detection: Combining Natural Language, Metadata, and Reputation Feature,” International Conference on Intelligent Text Processing and Computational Linguistics, pp. 277-288, 2011. [11] N.-A. Le-Khac, M.-T. Kechadi, and M. Banerveld, “Performance Evaluation of a Natural Language Processing approach applied in White Collar crime investigation,” School of Computer Science & Informatics, University College Dublin Belfield, Dublin, Ireland, 2014. [12] H.-K. Peng, P. Wu, J. Zhu, and J. Ying Zhang, “Helix:Unsupervised Grammar Induction for Structured Activity Recognition,” 11th IEEE International Conference on Data Mining. pp. 1195-1199, 2011. [13] K. Rieck and P. Laskov, “Detecting unknown network attacks using language models,” Third international conference on Detection of Intrusions, pp. 74-90, 2006. [14] Sunoallah, Wesam Ashour and Saad, “Multi Density DBSCAN,” International Conference on Intelligent Data Engineering and Automated Learning, pp. 446-453, 2011. [15] A. Özgür and H. Erdem, “A review of KDD99 dataset usage in intrusion detection and machine learning between 2010 and 2015,” Ankara : s.n., Apr. 2016. [16] J. C. Gower, “A general coefficient of similarity and some of its properties,” pp. 857–871, 1971. [17] W. G. Cochran, “The X2 test of goodness of fit,” Annals of Mathematical Statistics, vol. 25 , pp. 315–345, 1952. [18] Peterson, A. C. Lin, and L. Gilbert, “Activity Pattern Discovery from Network Captures,” IEEE Symposium on Security and Privacy Workshop, 2016. | ||
|
آمار تعداد مشاهده مقاله: 623 تعداد دریافت فایل اصل مقاله: 528 |
||