28391

شناسايي حملات در داده‌هاي شبكه با استفاده از روش‌هاي يادگيري گروهي

كارشناسي ارشد

مهندسي كامپيوتر

1399

1402/02/23

دكتر حسين رحماني

دانشكده كامپيوتر

با توجه به فراگير بودن اينترنت، دردسترس بودن آن يك امر ضروري به شمار مي‌رود. از طرفي مهاجمان به دنبال از دسترس خارج كردن خدمات اينترنتي و سوءاستفاده از شركت‌هاي خدمات اينترنتي هستند. مهاجمان از ابزار‌ها و روش‌هاي مختلف جهت حمله به شبكه‌ها و زيرساخت‌هاي شركت‌هاي ارائه‌كننده خدمات استفاده مي‌كنند. به آن حملات، ناهنجاري در ترافيك شبكه نيز گفته مي‌شود. به طور‌كلي، ناهنجار‌ها يا حملات، رويداد‌هاي شبكه هستند كه از رفتار عادي مورد انتظار، منحرف مي‌شوند و از نظر امنيتي مشكوك هستند. چنين ناهنجار‌هايي در يك شبكه ممكن است به دو دليل 1- عملكرد شبكه، 2- امنيت شبكه، باشد. در سال‌هاي اخير روش‌هاي محاسباتي بسياري براي پيش‌بيني ناهنجاري در شبكه ايجاد شده است. اين روش‌ها مي‌توانند ناهنجاري‌ها را در شبكه تشخيص دهند و از حملات جلوگيري كنند. اين روش‌هاي محاسباتي به‌طور كلي به دو دسته مبتني بر تجزيه و تحليل آماري و مبتني بر يادگيري ماشين است. در اين پايان‌نامه به بررسي تعدادي از اين روش‌ها مي‌پردازيم. روش‌هاي بسيار متنوعي براي شناسايي حملات در شبكه ارائه شده‌اند. از مهم‌ترين چالش‌هاي روش‌هاي پيشين مي‌توان به دقت پايين و عدم تفسير پذيري اشاره نمود. در اين پايان‌نامه، ما سعي نموديم كه تركيبي از روش‌هاي پايه را براي شناسايي ويژگي‌هاي تاثير‌گذار در شناسايي حملات به كار گيريم و دقت شناسايي حملات را در مجموعه‌داده‌ متوازن شده به 94 درصد برسانيم. به منظور حل چالش تفسيرپذيري، روش‌هاي SHAP و LIME را اعمال نموده و ويژگي‌هاي اثرگذار در شناسايي حملات را شناسايي نموديم. روش پيشنهادي، علاوه بر دقت و تفسير پذيري بالا، سرعت بالاتري نسبت به روش‌هاي پيشين دارد.

1402/03/21

Network attack detection using ensemble learning

5/12/2024 12:00:00 AM

Given the widespread availability of the internet, access to it has become a necessity. However, attackers seek to disrupt internet services and exploit internet service providers. Attackers use various tools and methods to attack networks and service providers. Such attacks are also known as network traffic anomalies. In general, anomalies or attacks are network events that deviate from expected normal behavior and are suspicious from a security standpoint. Such anomalies in a network may be due to network performance or security issues. In recent years, various computational methods have been developed for predicting network anomalies. These methods can detect anomalies in a network and prevent attacks. These computational methods generally fall into two categories: statistical analysis-based and machine learning-based. In this thesis, we examine several of these methods. A wide variety of methods have been proposed for identifying network attacks. Among the most important challenges of previous methods are low accuracy and lack of interpretability. In this thesis, we attempted to use a combination of basic methods to identify features that are effective in identifying attacks and increase the accuracy of attack identification to 94% in a balanced dataset. To solve the interpretability challenge, we applied SHAP and LIME methods and identified features that are influential in identifying attacks. The proposed method, in addition to high accuracy and interpretability, has a higher speed compared to previous methods.

تشخيص‌ ناهنجاري , يادگيري‌ماشين , داده‌هاي شبكه , بات‌نت‌ , يادگيري گروهي , تفسيرپذيري

Anomaly detection , machine learning , network data , botnets , ensemble learning , interpretability

Seyed Mojtaba Abtahi

Dr. Hossein Rahmani