دانلود ترجمه مقاله بهبود دسته بندی کننده های تشخیص نفوذ شبکه با استفاده از مبهم سازها

1. مقدمه 2. پیش زمینه 3. رویکرد ارائه شده 4. ارزیابی 5. بحث و بررسی و نتایج 6. تحقیقات مرتبط 7. نتیجه گیری

چکیده – دسته بندی کننده های تشخیص نفوذ مبتنی بر یادگیری ماشین، قادر به شناسایی حملات ناشناخته هستند، اما در عین حال ممکن است به فرار از طریق تکنیک های مبهم سازی حساس باشند. مهاجمی که دانش کلی در خصوص سیستم های حفاظتی دارد، می تواند به راحتی از ماژول تشخیص، گذر کند. هدف اصلی کار ما، ارتقاء قابلیت های عملکرد دسته بندی کننده های تشخیص نفوذ علیه چنین دشمنانی است. بدین منظور، ابتدا تکنیک های مبهم سازی را برای مقابله با چنین حملاتی پیشنهاد می کنیم. این تکنیک بر اساس اصلاح خواص مختلف ارتباطات شبکه ایجاد شده است. سپس مجموعه کاملی از آزمایش ها، به منظور ارزیابی ایمنی دسته بندی کننده های تشخیص نفوذ در مقابل حملات مبهم شده، انجام می شوند. رویکرد ارائه شده، با استفاده از یک ابزار، مبتنی بر NetEm و Metasploit، که عملگرهای مبهم را روی تمام ارتباطات TCP اجرا می کند، نمونه سازی می شود. این به ما اجازه می دهد تا برای انجام آزمایش های یادگیری ماشین با استفاده از ویژگی هایی که برای ارزیابی آمارهای شبکه و رفتار اتصالات TCP، داده های اصلاح شده شبکه تولید کنیم. 5 دسته بندی کننده ارزیابی شدند: بیزی ساده گاوسی، بیزی ساده گاوسی با برآورد چگالی کرنل، رگرسيون لجستيک، درخت تصمیم و ماشین های بردار پشتیبان. آزمایش های ما این فرض را تایید می کند که در تمامی دسته بندی کننده هایی که در خصوص حملات مبهم آموزش ندیده اند، احتمال غلبه بر قابلیت تشخیص نفوذ وجود دارد. تشدید TPR در محدوده 7.8% تا 66.8% این موضوع را تایید می کند. علاوه بر این، با اضافه کردن یک زیر مجموعه از حملات مبهم به دانش آموزش داده شده به دسته بندی کننده ها، با افزایش مقدار TPR از 4.21% به 73.3% بهبود قابل توجهی در این زمینه رخ می دهد، در حالیکه مقدار FPR تنها به میزان کمی کاهش می یابد (از 0.1% به 1.48%). در نهایت، توانایی یک دسته بندی کننده آگاه از مبهم سازها، که حملات ناخواسته مبهم را شناسایی می کند را ارزیابی می کنیم. نتایج بدست آمده نشان داد که نرخ تشخیص برای بیشتر مبهم سازها، به طور متوسط به بیش از 90 درصد می رسد.

Machine-learning based intrusion detection classifiers are able to detect unknown attacks, but at the same time, they may be susceptible to evasion by obfuscation techniques. An adversary intruder which possesses a crucial knowledge about a protection system can easily bypass the detection module. The main objective of our work is to improve the performance capabilities of intrusion detection classifiers against such adversaries. To this end, we firstly propose several obfuscation techniques of remote attacks that are based on the modification of various properties of network connections; then we conduct a set of comprehensive experiments to evaluate the effectiveness of intrusion detection classifiers against obfuscated attacks. We instantiate our approach by means of a tool, based on NetEm and Metasploit, which implements our obfuscation operators on any TCP communication. This allows us to generate modified network traffic for machine learning experiments employing features for assessing network statistics and behavior of TCP connections. We perform the evaluation of five classifiers: Gaussian Naive Bayes, Gaussian Naive Bayes with kernel density estimation, Logistic Regression, Decision Tree, and Support Vector Machines. Our experiments confirm the assumption that it is possible to evade the intrusion detection capability of all classifiers trained without prior knowledge about obfuscated attacks, causing an exacerbation of the TPR ranging from 7.8% to 66.8%. Further, when widening the training knowledge of the classifiers by a subset of obfuscated attacks, we achieve a significant improvement of the TPR by 4.21% - 73.3%, while the FPR is deteriorated only slightly (0.1% - 1.48%). Finally, we test the capability of an obfuscations-aware classifier to detect unknown obfuscated attacks, where we achieve over 90% detection rate on average for most of the obfuscations.