كشف هجمات الشبكة المحلية عن طريق استخلاص السمات بالاعتماد على تقنيات التعلم الآلي الهجينة

الملخص

يُعدُّ أمن الشبكات مسألة هامة ودقيقة عند تناقل معلومات قيّمة وحسّاسة عبر هذه الشبكات. فمعظم الحلول الأمنية المتاحة حالياً المبنية في النُظم التجارية الشائعة لكشف الهجمات تعاني من صعوبات في تحقيقها، ذلك أنها تولد أعداداً هائلة من التنبيهات الكاذبة، ولا تعالج إلا حجماً قليلاً من البيانات، وتتميز بالبطء في زمن الكشف. وهذا ما يجعل التحقّق من صحة هذه التنبيهات بغية اتخاذ الإجراءات المناسبة مهمّة معقّدة وشبه مستحيلة لمراقب أمن الشبكة. من هنا برزت الحاجة الملحّة لاستكشاف هذه المشكلة وإيجاد حل مناسب لها. وفي هذا البحث، نتصدى لهذه المسألة إذْ نقترح نهجاً أمنيّاً لنظام كشف الاختراق الخاضع للإشراف (Supervised intrusion detection system)، لديه القدرة على التعلّم من أمثلة الهجمات السابقة لاكتشاف الهجمات الجديدة، وذلك بتصنيف حركات مرور الرزم الشبكية إما إلى رزم هجمات شبكية أو رزم بيانات طبيعية، واستخلاص السمات ذات الصلة للهجمات الشبكية واستخدامها لبناء المصنفات التي تُمكنها من التعرف على الهجمات المعروفة في الزمن الحقيقي. النهج المقترح مبني على طريقة الشبكات العصبونية الاصطناعية (Artificial Neural Networks) وخوارزمية آلة متّجه الدعم (Support Vector Machine) التي تستخدم في عملية التصنيف. يُعدُّ النهج المقترح نظاماً هجيناً واعداً للتقليل من الإنذارات الخاطئة (السلبية أو الإيجابية)، لأن الشبكات العصبونية قادرة على التعلّم من الأمثلة الفعلية. كما يتيح زيادة حجم البيانات المعالجة وسرعة في كشف الهجمات. ونتحقّق من صحته باستعمال مجموعة البيانات الشهيرة KDD-CUP99. وتُبيّن النتائج تفوق النهج الهجين (Hybrid ANN-SVM) على المنهجين (ANN) و(SVM) كل منها على حدا في اختبار دقّة التعلّم وزمن المعالجة وحجم البيانات وتقليص عدد الإنذارات الإيجابية الكاذبة إضافة إلى استخلاص سمات الهجمات.