تشخیص حملات سایبری پیشرفته با استفاده از مدل سازی رفتاری

باوجود پیشرفت های سخت افزاری و نرم افزاری در سیستم های کنونی تشخیص نفوذ این سیستم ها برای تشخیص حملات پیچیده از خود نقطه ضعف های بسیاری نشان می دهند. علاوه بر این توسعه سریع روش های نفوذ به شبکه که از مراحل نامحسوس متعددی از فعالیت های سایبری بدخواهانه تشکیل می شوند نیز سیستم های کشف نفوذ سنتی را در برابر حملات ماندگار پیشرفته، ناکارآمدتر ساخته است. بنابراین برای مقابله با چنین روش های حرفه ای نفوذ به شبکه، می توان از مدل سازی ساخت یافته رفتار استفاده نمود. در این مقاله برای مدل سازی در مرحله تولید دنباله ها برای اولین بار در حوزه سایبری از یک خوشه بندی جدید به عنوان خوشه بندی IMD_DBSCANکه یکی از انواع بهبود یافته خوشه بندی DBSCAN افزایشی است، استفاده شده است. علاوه بر این از یک الگوریتم حریصانه با الهام از القاء گرامر در پردازش زبان طبیعی استفاده شده تا با ادغام فعالیت های سطح پایین بتوانیم به فعالیت های سطح بالا دستیابی داشته باشیم. در الگوریتم پیشنهادی در بخش ادغام و تشخیص فعالیت های سطح بالا، برای اولین بار یک معیار شباهت به معیارهای موجود اضافه شده است. این معیار برگرفته از فاصله ویرایش یا فاصله لون اشتاین است که برای محاسبه میزان تفاوت میان دو رشته در علوم کامپیوتر و نظریه داده ها استفاده می شود. نتایج نشان می دهد دقت تشخیص، در فعالیت های سطح بالا نسبت به فعالیت های سطح پایین در بهترین حالت 48% بیشتر است.