وانین منجر به تصمیم میشود.مشکل اصلی سیستم خبره این است که بر پایه ورودیهای ذهنیاست که ممکن است متناقض باشد. سیستمهای تشخیص تقلب بر پایه تکنولوژی درخت تصمیم یا منطق فازی از موتورهای اتوماتیک استناج قواعد استفاده میکنند[۶].

شکل ۲-۸: انواع سیستمهای تشخیص تقلب[۶]
۲-۴ مقدمهای بر سیستم تشخیص نفوذ
از آنجایی که از نظر تکنیکی ایجاد سیستمهای کامپیوتری بدون نقاط ضعف و شکست امنیتی عملا غیر ممکن است تشخیص نفوذ در سیستمهای کامپیوتری با اهمیت خاصی دنبال میشود. سیستم تشخیص نفوذ سختافزار یا نرمافزاری است که کار نظارت بر شبکه کامپیوتری را در مورد فعالیتهای مخرب و یا نقص سیاستهای مدیریتی و امنیتی را انجام میدهد و گزارشهای حاصله را به بخش مدیریت شبکه ارائه میدهد. سیستمهای تشخیص نفوذ وظیف شناسایی و تشخیص هر گونه استفاده غیر مجاز به سیستم، سوء استفاده و یا آسیب رسانی توسط هر دو دسته کاربران داخلی و خارجی را بر عهده دارند.هدف این سیستمها جلوگیری از حمله نیست و تنها کشف و احتمالا شناسایی حملات و تشخیص اشکالات امنیتی در سیستم یا شبکه کامپیوتری و اعلام آن به مدیر سیستم است. عموما سیستمهای تشخیص نفوذ در کنار دیوارهای آتش و بصورت مکمل امنیتی برای آنها مورد استفاده قرار میگیرد.
سیستمهای تشخیص نفوذ عملا سه وظیفه کلی بر عهده دارند پایش (نظارت و ارزیابی)، تشخیص نفوذ و پاسخ هر چند پاسخ در این سیستمها عموما به ایجاد اخطار در قالبهای مختلف، محدود میگردد[۱].
۲-۴-۱ تعاریف اولیه
تشخیص نفوذ
فرآیند نظارت بر وقایع رخ داده در یک شبکه یا سیستم کامپیوتری در جهت کشف موارد انحراف از سیاستهای امنیتی را تشخیص نفوذ مینامند.
سیستم تشخیص نفوذ
یک نرم افزار با قابلیت تشخیص، آشکارسازی و پاسخ(واکنش) به فعالیتهای غیر مجاز یا ناهنجار در رابطه با سیستم را سیستم تشخیص نفوذ می نامند[۱].
۲-۴-۲ وظایف عمومی یک سیستم تشخیص نفوذ:
نظارت و تحلیل فعالیتهای شبکه، سیستم و کاربر
بررسی پیکربندی سیستم و آسیب پذیریها
ارزیابی صحت سیستم و فایلهای دادهای حساس
تشخیص الگوهای منطبق با حملات شناخته شده
تحلیل آماری الگوهای فعالیت ناهنجار
۲-۴-۳ دلایل استفاده از سیستم های تشخیص نفوذ:
جلوگیری از رفتارهای مشکلزا با مشاهده خطرات کشف شده
تشخیص و مقابله با مقدمات خطرات
ثبت تهدیدات موجود برای یک سازمان
سیستم های تشخیص نفوذ اطلاعات مفیدی درباره تهاجمات و نفوذهایی که واقع میشوند، ارائه میدهد و امکان عیب یابی، کشف، و تصحیح عاملهای کشف شونده را میدهد.
هدف IDS را می توان به طور کلی به دو بخش تقسیم کرد:
حسابرسی: قابلیت ارتباط دادن یک واقعه به شخص مسئول آن واقعه( نیازمند مکانیزمهای شناسایی و رد یابی است.)
پاسخگویی یا واکنش: قابلیت شناخت حمله و سپس انجام عملی برای مقابله یا توقف آن و پیشگیری از تکرار آن

شکل ۲-۹: معماری یک سیستم تشخیص نفوذ[۱]
۲-۴-۴ جمع آوری اطلاعات
شامل عملیات جمع آوری داده از یک منبع اطلاعاتی و تحویل آنها به پیش پردازنده و موتور تحلیل می باشد. برای جمع آوری اطلاعات در سیستمهای مبتنی بر شبکه از ترافیک شبکه، سیستمهای مبتنی بر میزبان از دنبالههای ممیزی سیستمعامل و رویدادنامهها، و سیستمهای میتنی بر برنامه کاربردی از رویدادنامهها پایگاه داده و رویدادنامهها کارگزار وب استفادهمیشود[۱].
۲-۴-۵ تشخیص و تحلیل:
سازمان دهی اطلاعات و جستجوی علائم امنیتی در تشخیص مورد بررسی قرار میگیرد در تشخیص سوء استفاده، علائم حمله و تشخیص ناهنجاری، رفتار غیرنرمال را مورد بررسی قرار میگیرد[۱].
۲-۴-۶ تشخیص سوء استفاده۲۸:
شناخت حملات موجود و تعریف الگوی حملات برای موتور تحلیل با جستجوی مجموعهای از وقایع که با یک الگوی از پیش تعریف شده مطابقت دارد، را انجام میدهد. نیاز به بروزرسانی الگوهای حمله است. روشهای پیادهسازی را با سیستم خبره، روشهای مبتنی بر گذار حالات انجام می دهد. کاربرد آن در سیستمهای تجاریIDS است[۱].
۲-۴-۷ تشخیص ناهنجاری۲۹:
به شناخت عملکرد نرمال سیستم وتهیه نمایههای ی از رفتار نرمال سیستم برای موتور تحلیل می پردازد. در جستجوی فعالیت غیر نرمال است. روشهای پیادهسازی شامل روشهای آماری و دادهکاوی است و بیشتر جنبه تحقیقاتی و کاربردی دارد.
۲-۴-۸ مقایسه بین تشخیص سوء استفاده و تشخیص ناهنجاری:
تشخیص سو استفاده:
در این روش تشخیص حملات در حد حملات شناخته شده و سریع و با خطای کمتری انجام میگیرد.
تشخیص ناهنجاری:
در این روش بیشتر تاکید روی تشخیص حملات ناشناخته است و از مشکلات این روش بالابودن درصد خطای مثبت غلط است.
۲-۴-۹ پیاده سازی سیستمهای تشخیص نفوذ:
۲-۴-۹-۱ روشهای پیادهسازی تشخیص سوءاستفاده:
سیستم خبره:
مکانیزمی برای پردازش حقایق و مشتق کردن نتایج منطقی از این حقایق، با توجه به زنجیرهای از قواعد است. در اینجا قواعد شامل الگو یا سناریوهای نفوذ و حقایق شامل وقایع رخداده در سیستم است.
از جمله مزیتهای این روش میتوان به ارائه حملات در قالب قواعد توسط کاربر بدون نیاز به دانستن نحوه عملکرد سیستم خبره و امکان اضافه کردن قواعد جدید بدون تغییر قواعد قبلی اشاره نمود.
معایب این روش شامل کارایی پایین، نامناسب بودن برای حجم زیاد دادهها و بیان ترتیب در قواعد میباشد[۱].
روشهای مبتنی بر گذار حالت
این روش توسط گراف مدل میشود و از مفهوم حالت سیستم و گذار تکنیکهای انطباق الگو استفاده میشود.
سرعت زیاد از ویژگی این روش است الگوی حمله از حالت امن اولیه به سمت حالت خطرناک نهایی با گذر از چندین حالت است.
۲-۴-۹-۲ روش پیادهسازی تشخیص ناهنجاری
روشهای مبتنی بر کاربر: تولید نمایه از رفتار کاربران و مقایسه رفتار واقعی کاربران با نمایهها و یافتن رفتارهای غیر نرمال کاربران، برای پیاده سازی تشخیص ناهنجاری استفاده میکند.
روشهای پیادهسازی تشخیص ناهنجاری مبتنی بر کاربر
تحلیل کمی
بیان نمایه با معیارهای عددی تعداد مجاز ورود ناموفق برای کاربر A، n است.
تحلیل آماری
بیان نمایه با معیارهای آماری ورودی ناموفق برای کاربر A، تابع توزیع نرمال a است., IDES NIDE ,Haystack از این دستهاند.
روشهای مبتنی بر قاعده
بیان معیارهای آماری با مجموعهای از قواعد که از استفاده سیستم خبره برای بیان نمایهها استفاده میشود.
شبکه عصبی
استخراج نمایه از سابقه سیستم
الگوریتم ژنتیک
تعریف بردار فرضی نفوذ یا عدم نفوذ برای واقعه، آزمون اعتبار فرض، اصلاح و بهبود فرض
۲-۵ تعاریف برخی مقادیر ارزیابی مورد استفاده در سیستم داده کاوی:
در ادامه برای بررسی دقیق معیارها در زیر جدول آورده شده است که بطور دقیق معیارها را نشان میدهد که مخصوص دادهکاوی است[۴].
داده برچسب بصورت مثبت۳۰ یا منفی۳۱ است که در دسته بندی مورد استفاده قرار میگیرد.
جدول ۲-۱: تعریف معیارها[۴]
دادههای پش بینی شده توسط سیستم دادهکاوی
مجموعه دادههای واقعی

این مطلب رو هم توصیه می کنم بخونین:   منبع تحقیق درمورد تصمیم گیری، بهینه سازی

مثبت
مثبت
True Positive(TP)
مثبت
منفی
False Positive(FP)
منفی
منفی
True Negative(TN)
منفی
مثبت
False Negative(FN)

مثبت واقعی۳۲
دادهای را که در واقع مثبت بوده بطور صحیح مثبت تشخیص داده است.
مثبت غلط۳۳
دادهای را که در واقع منفی بوده بطور غلط مثبت تشخیص داده است.
منفی واقعی۳۴
دادهای را که در واقع منفی بوده بطور درست منفی تشخیص داده است.
منفی غلط۳۵
دادهای را که در واقع مثبت بوده بطور غلط منفی تشخیص داده است..
۲-۵-۱Confusion matrix:
یک معیار ارزیابی برای دسته بندی بصورت ماتریس است که TPوTN نشان دهنده دستهبندی درست را نشان میدهند. وFP وFN دستهبندی غلط را نشان میدهد.
جدول ۲-۲: ماتریس [۴] confusion

Predicted class

Total
no
yes

Accualclass

P
FN
TP
yes

N
TN
FP
no

P+N
N^,
P^,
Total

N^,:تعداد رکوردهای ی که برچسب منفی خورده اند.
: P^, تعداد رکوردهای ی که برچسب مثبت خورده اند.
۲-۵-۲ درستی۳۶
درصدی از رکوردها که بصورت صحیح دسته بندی شده اند که به آن نرخ شناسایی نیز میگویند و بصورت رابطه ۲-۲۴ تعریف میشود:
رابطه۲-۲۴

acuracy=(TP+TN)/(P+N)

۲-۵-۳ میزان خطا۳۷
درصد از رکوردها که بطور نادرست دستهبندی شدهاند. و بصورت رابطه ۲-۲۵ تعریف میشود
رابطه۲-۲۵

errorrate=(FP+FN)/(P+N)

۲-۵-۴ حساسیت، میزان مثبت واقعی، یاد آوری۳۸
تعداد رکوردهای ی مثبت که بطور صحیح شناسایی شدهاند.(واقعا مثبت هستند) و بصورت رابطه ۲-۲۶ تعریف میشود.
رابطه۲-۲۶

Recall=TP/(TP+FN)=TP/P

۲-۵-۵ ویژگی، میزان منفی واقعی۳۹
تعداد رکوردهای منفی که بطور دقیق شناسایی شدهاند. و بصورت رابطه ۲-۲۷ تعریف میشود.
رابطه۲-۲۷

pecificity=TN/N

۲-۵-۶ حساسیت۴۰:
تعداد رکوردهای مثبت که بطور دقیق شناسایی شدهاند. و به آن نرخ شناخت نیز میگوییم. و بصورت رابطه ۲-۲۸ تعریف میشود.
رابطه۲-۲۸

Sentivity=TP/P

با توجه به تعریف بالا نرخ درستی میتوانیم بصورت رابطه ۲-۲۹ تعریف کنیم

رابطه۲-۲۹

Acuuracy=sentivity P/((P+N) )+specificity N/((P+N) )

۲-۵-۷دقت۴۱
رکوردهایی که بطور صحیح برچسب مثبت خوردهاند. و بصورت رابطه ۲-۳۰ تعریف میشود.
رابطه۲-۳۰

Precision=TP/(TP+FP)

۲-۵-۸ معیار F:
با ترکیب معیار PrecisionوRecall معیارF بوجود میآید که بصورت رابطه ۲-۳۱ تعریف میشود و میانگین حسابی این دو معیار است. مقدار این پارامتر بین بازه ۰ تا ۱ است. مقدار ۱ نشان میدهد که نرخ خطا صفر و همه حملات به درستی تشخیص داده شدهاند. مقدار نزدیک به ۱ مقدار قابل قبولی میباشد.

رابطه۲-۳۱

F=(2*Precision*Recall)/(Precision+Recall)

جدول ۲-۳: معیارهای مختلف ارزیابی و فرمول آنها‎[۴]
معیارهای ارزیابی
فرمول
درستی، نرخ شناسایی
(TP+TN)/(P+N)
میزان خطا
(FP+FN)/(P+N)
حساسیت، میزان مثبت واقعی، یاد آوری
TP/P
ویژگی، میزان منفی واقعی
TN/N
دقت
TP/(TP+FP)
معیار F
(۲*Precision*Recall)/(Precision+Recall)

۲-۶ پژوهشهای انجام شده در این زمینه:
در این بخش به بررسی کارهای انجام شده می پردازیم بیشتر مباحث شامل روش های دسته بندی با نظارت، بی نظارت وقوانین انجمنی است. مقایسه بین روشهای بانظارت در اجرا و همچنین شناسایی داده غیرنرمال با استفاده از روشهای خوشهبندی و استفاده ازقوانین انجمنی برای تشخیص تقلب محورهای اصلی مورد بررسی است.
۲-۶-۱ پژوهش اول: کشف تقلب در سیستمهای مالی۴۲با استفاده از دادهکاوی
۲-۶-۱-۱ هدف پژوهش:
هدف اینکار همان طور که در مقاله ذکر شده است جلوگیری از تقلب نیست چون متقلب خود را با شرایط وقف میدهد هدف شناسایی تقلب با استفاده از الگوریتم دادهکاوی است. شناسایی تقلب با استفاده از رو

دسته‌ها: No category

دیدگاهتان را بنویسید