Download as PDF, PPTX
Uploaded byMorteza Zakeri
An overview of anomaly detection techniques
An overview of anomaly detection techniques
An overview of anomaly detection techniques
- 1. کامپیوتر مهندسی دانشکده ناهنجاریتشخیص فنون بر مروری:هایحلراهفناوری روندهای آخرین و موجود An overview of anomaly detection techniques: Existing solutions and latest technological trends کاوی داده درس ارایه نصرآبادی ذاکری مرتضی استاد: رحمانی حسین دکتر آذر97
- 2.
- 3. آذر9725 تشخیصنفوذ •سیستمتشخیصنفوذ(IDS) •یکابزارافزاریمنر •شناساییدسترسیغیرمجازیاهرگونهرفتارمخرب(ناهنجاری)درسیستم/شبکه •پایشپویایترافیکشبکهوتحلیلآن •هشداربهمدیرسیستمدرصورتتشخیصنفوذ •اهمیتتشخیصنفوذ(A. Patcha andJ. M. Park, 2007) •گسترشهایهشبک،کامپیوتری،اینترنتتجارتوبانکداریالکترونیک •FBI:خسارت130میلیوندالریناشیازحمالتسایبریدرسال2005 •حملهسایبریونفوذبهسیستم؛بزرگترینتهدید%66ازهایتشرکبزرگ •کشفماهانهبهطورمیانگینبین20تا40پذیریبآسیدرمحصوالترایجشبکه مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج ناهنجاری تشخیص فنون بر مروری-ذاکری مرتضی3 هایجدیدتشخیصنفشرووذ
- 4. آذر9725 ساختارکلییکسیستمتشخیصنفوذ(S. Axelsson, 1998) ناهنجاریتشخیص فنون بر مروری-ذاکری مرتضی4 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ S. Axelsson
- 5. آذر9725 فنونتشخیصنفوذ(A. Patcha andJ. M. Park, 2007) ناهنجاری تشخیص فنون بر مروری-ذاکری مرتضی5 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ فنونتشخیصنفوذ مبتنیبرامضاء مبتنیبرتشخیص ناهنجاری یکپایگاهدادهازپیش تعریفشده تشخیصبااطمینان هایهحملشناختهشده شروعتشخیصبالفاصله پسازنصبواندازیهرا نیازمندبروزرسانی مکرر عدمشناسایی هایهحملروزصفر ایجادیکپروفایلازرفتار عادیسیستم/شبکه تشخیصهایهحمل داخلی تشخیصهایهحمل روزصفر نیازبهتعریفو آموزشپروفایل عادی نرخآژیرخطرباال ترکیبی J.M. ParkA. Patcha
- 6. آذر9725 بندیطبقهفنونتشخیصناهنجاری(A. Patcha andJ. M. Park, 2007) ناهنجاری تشخیص فنون بر مروری-ذاکری مرتضی6 فنونتشخیصناهنجاری فنونآماریفنوندادهکاوی تحلیلتوالی هاییفراخوان سیستمی فنونیادگیریماشینی مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ هایهشبکبیزی تحلیلهایهمؤلف اصلی(PCA) هایلمدمارکوف بندیهرد (Classification) بندیهخوش (Clustering) الگوهایپرتکرار (Association Rules) J.M. ParkA. Patcha
- 7. آذر9725 رابطهمیانتشخیصنفوذوتشخیصناهنجاری •چهارحالتبااحتمالغیرصفردرتشخیصنفوذ •فعالیتنفوذیاماهنجار:منفیکاذب •فعالیتغیرنفوذیاماناهنجار:مثبتکاذب •فعالیتغیرنفوذیوهنجار:منفیصحیح •فعالیتنفوذیوناهنجار:مثبتصحیح •هدف:کاهشهایخنرمنفیکاذبومثبتکاذب •ایندومعیاردرتضادبایکدیگرهستند! ناهنجاری تشخیص فنونبر مروری-ذاکری مرتضی7 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ فرضاصلی:فعالیتنفوذیایهزیرمجموعازفعالیتناهنجاراست.
- 8. آذر9725 فنونآماری •مشاهدهفعالیتهایشبخمختلفسیستمدرهاینزمامختلف •درصداستفادهازCPU،حافظه،اصلیکارتشبکه •ایجادپروفایلذخیرهشدهوپروفایلجاریسیستم •محاسبهامتیازناهنجاریبامقایسهدوپروفایل •عدمنیازبهدانشپیشیندرموردهاهحملوهایصنقامنیتی •دقتباالدرتشخیصهحملممانعتازسرویستوزیعشده(DDoS) •امکانآموزشسیستمتشخیصناهنجاریمبتنیبرفنونآماریبهصورتغلطتوسط مهاجم •تعیینیکحدآستانهخوببرایایجادمصالحهبینهایخنرمنفیکاذبومثبتکاذب ناهنجاری تشخیص فنونبر مروری-ذاکری مرتضی8 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ
- 9. آذر9725 فنونآماری •Haystack •سازیلمدپارامترهایسیستمباهایرمتغیگاوسیمستقل •استفادهازتحلیلافتراقی •NIDES •جمعآوریهایهدادمربوطبهیکشبکهوتحلیلآماریآن •استفادهازیکماژولتحلیلمبتنیبرقاعده •ترکیبنهاییدوروشفوقتوسطماژولResolver ناهنجاری تشخیص فنونبر مروری-ذاکری مرتضی9 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ
- 10. آذر9725 فنونیادگیریماشینی •تحلیلتوالیهاییفراخوانسیستم •استخراجتوالیهاییفراخوانسیستمیهایهبرناممختلفدرحالتعادی •مقایسهتوالیهاییفراخوانسیستمیبرنامهدرزماناجراباپایگاهایهداد ازهاییتوالموجود •امکاناستفادهازهرالگوریتمیادگیریبانظارتبرایبرچسبزدن بهیکتوالی •سربارمحاسباتیباالدرپایشهرفراخوانیسیستمی •نامنظمبودنذاتیهاییفراخوانسیستمی •افزایشنرخمثبتکاذب ناهنجاری تشخیص فنونبر مروری-ذاکری مرتضی10 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ
- 11. آذر9725 فنونیادگیریماشینی •هایهشبکبیزی •امکانسازیلمدوابستگی •امکانسازیلمدرابطهّیلع-معلولی(پدر–فرزند) •استفادهازشبکهبیزیnaiveدرچندینپژوهش •قابلیتتشخیصهایهحملتوزیعشدهکهدرآنهرنشستحمله ،منفردقادربهتولیدآژیرحملهنیست. •ساختاردرختیودرنظرنگرفتنبسیارازهایوابستگوروابط •پیچیدهبودنتعیینیکساختارمناسببرایمدلکردنوابهایستگ وروابط ناهنجاری تشخیص فنونبر مروری-ذاکری مرتضی11 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ
- 12. آذر9725 فنونیادگیریماشینی •تحلیلهایهمؤلفاصلی(PCA) •تعدادزیادهایویژگدرهایهدادهمجموعمرتبطباتشخیصنفوذ •استفادهازPCAبهعنوانیکفنکاهشابعادوحذفهایهمبستگ •حذفهاییویژگپرت •ایجادیکبندهردصورتهبتابعیازهایهمؤلفاصلی •افزایشدقتتشخیصناهنجاری ناهنجاری تشخیص فنونبر مروری-ذاکری مرتضی12 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ
- 13. آذر9725 فنونیادگیریماشینی •هایلمدمارکوف •ایجادیکمدلمارکوفازهایتحالسیستم •مثال:هاییفراخوانسیستمی •محاسبهاحتمالگذربینهایتحالمختلف •باتوجهبههایهدادعادی(هنجار) •محاسبهاحتمالبراییکتوالیازهایتحالجدید •تشخیصناهنجاریازطریقمقایسهبایکحدآستانه •سازیلمدساده •مشکلانفجارفضایحالت ناهنجاری تشخیص فنونبر مروری-ذاکری مرتضی13 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ Andrey A. Markov (1856 – 1922)
- 14. آذر9725 فنوندادهکاوی •بندیهرد(Classification) •تشخیصناهنجاریعنوانهبیکمسئلهبندیهرد •برچسبهاهداد:هنجاروناهنجار •مقادیرهایویژگ:سیستمدرحالتعادی+سیستمدرحالتنفوذ •استفادهازدرختتصمیمواستخراجیکمجموعهقواعد •قابلیتفهموتفسیرآسانقواعد •ناکارآمددرارایههمهاطالعات •Fuzzy Intrusion RecognitionEngine (FIRE) •استفادهازفنونمنطقفازی •ایجادیکمجموعهفازیبرایهرویژگیوسپساستخراجقواعدفازیازاینهاهمجموع ناهنجاری تشخیص فنون بر مروری-ذاکری مرتضی14 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ
- 15. آذر9725 فنوندادهکاوی •بندیهخوشوتشخیصهایهدادپرت(Outlier) •عدمنیازبهگذاریببرچسصریحهاهداد(برخالفبندیهرد) •هدادپرت:ایهدادکهدرهیچایهخوشقرارگیردینم. •ایهنشانازنفوذ ناهنجاری تشخیص فنونبر مروری-ذاکری مرتضی15 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ تشخیصناهنجاریبا بندیهخوش هایهآموزشفقطرویداد عادی هایهآموزشرویداد عادیوحمله
- 16. آذر9725 فنوندادهکاوی •بندیهخوشوتشخیصهایهدادپرت(Outlier) •چالشاصلی:تعیینمعیارشباهت •استفادهازفاصلهMahalanobis •تعیینفاصلههرنمونهازهاهدادنسبتبهمرکزهاهدادبالحاظمیزانواریانسهرویژگی •اهمیتبیشتربههایهمؤلفاصلیهنگامتعیینفاصله •Minnesota Intrusion DetectionSystem (MINDS) •انتسابlocal outlier factor (LOF)بههرنمونهازهاهداد •LOF:تراکمهاهداددریکشعاعهسایگیتعیینشدهبراینمونهدادهشده •افزایشدقتنسبتبههایشرومبتنیبرفاصلهقبلی •دشواریتعیینشعاعهمسایگیبهینه ناهنجاری تشخیص فنون بر مروری-ذاکری مرتضی16 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ Prasanta C. Mahalanobis (1893 - 1972)
- 17. آذر9725 فنوندادهکاوی •Association rule •استخراجقواعدبهفرم𝑋→𝑌(𝑋 ∈𝐷 ٿ 𝑌 ∈ 𝐷 ٿ 𝑋⋂𝑌 = ∅) •Audit Data Analysis and Mining (ADAM) •یکسیستمتشخیصناهنجاریبالدرنگبرایشناساییحملهدرهایهبستTCP •ایجادیکمجموعهقواعدرویهایهدادحالتعادی •استخراجقواعدازهایهدادآنالینومقایسهبامجموعهقبلی •بندیهردقواعدجدیدتوسطیکبندهرد ناهنجاری تشخیص فنون بر مروری-ذاکری مرتضی17 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ
- 18. آذر9725 فنونترکیبی •استفادههمزمانازهایشروتشخیصناهنجاریوهایشرومبتنیبرامضا •تشخیصهایهحملشناختهشدهبااستفادهازهایشرومبتنیبرامضا •تشخیصهایهحملروزصفربااستفادهازهایشروتشخیصناهنجاری •محافظتازپیمانهتشخیصناهنجاریتوسطروشمبتنیبرامضا •کاهشنرخمثبتکاذب •ترکیبشدنمعایبهردوروش •تعاملکارایدوپیمانهبایکدیگر •NIDES ناهنجاری تشخیص فنونبر مروری-ذاکری مرتضی18 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ
- 19. آذر9725 یادگیریژرفدرتشخیصناهنجاری •DOPING(S. K. Lim,Y. Loo et al., 2018) •استفادهازGenerative Adversarial Network (GAN)برایکاهشنرخمثبتکاذب ناهنجاری تشخیص فنون بر مروری-ذاکری مرتضی19 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ
- 20. آذر9725 یادگیریژرفدرتشخیصناهنجاری •تشخیصهایهحملداخلی(A. Tuor, S.Kaplan et al.,2017) •استفادهازRecurrent Neural Netwrok (RNN)برایتشخیصهایهحملداخلی ناهنجاری تشخیص فنون بر مروری-ذاکری مرتضی20 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ xt-1 ht-1 yt-1 U V xt ht yt U V xt+1 ht+1 yt+1 U V W W W t-1 t t+1 W شبکهعصبیمکرر
- 21. آذر9725 گیرینتیجه .Iدودستهکلیهایشرومبتنیبرنفوذ •مبتنیبرامضاومبتنیبرتشخیصناهنجاری .IIبررسیهایشروتشخیصناهنجاریدرشماهایمختلف •،آمارییادگیریماشینیودادهکاوی •تشخیصنفوذ/حملهدریک،میزباندریکشبکه •توسطعاملخارجیوداخلی(هایهحملداخلی) .IIIنرخباالیمثبتکاذبدرهایشروتشخیصناهنجاری .IVاستفادهازفنونیادگیریژرفبهعنوانلبهپژوهشدرتشخیصناهنجاری ناهنجاری تشخیص فنونبر مروری-ذاکری مرتضی21 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ
- 22. آذر9725 مسائلبازوکارهایآتی .Iانتقالفنونتشخیصناهنجاریبههایهحوزجدید •اینترنتاشیاء(IoT)وهایهشبکحسگرسیمیب(Y. Meidan etal., 2018) .IIمقابلهبانرخباالیآژیرهایغلط(مثبتکاذب) •تنهایکآژیرغلطدر000,100رخدادقابلقبولاست! .IIIنیازبهمعیارهایارزیابیبهتروترقدقیازجملهمعیارمحاسبههزینهآژیرهایغلط .IVایجادمجموعههایهدادبزرگوواقعیبرایارزیابیانواعهاشرو(Y. Meidan et al., 2018) .Vایجادراهکارهاییبرایمحافظتازپیمانهتشخیصنفوذ .VIبرطرفکردنموانعمیانامنیتوتشخیصنفوذمانندرمزنگاریاطالعاتشبکه .VIIایجادهایمسیستتشخیصنفوذبرایتشخیصهایهحملداخلی(A. Tuor, S. Kaplan et al.,2017) ناهنجاری تشخیص فنون بر مروری-ذاکری مرتضی22 مقـدمهفنونتشخیصناهنجاریهایترکیبیمسیستگیریهنتیج هایجدیدتشخیصنفشرووذ
- 23. آذر9725 مراجـع oA. Patcha andJ. M. Park, “An overview of anomaly detection techniques: Existing solutions and latest technological trends,” Computer Networks, vol. 51, no. 12, pp. 3448–3470, 2007. o S. Axelsson, Research in intrusion-detection systems: A survey, Department of Computer Engineering, Chalmers University of Technology, Goteborg, Sweden, Technical Report 98-17, December 1998. o S. K. Lim, Y. Loo, N.-T. Tran, N.-M. Cheung, G. Roig, and Y. Elovici, “DOPING: generative data augmentation for unsupervised anomaly detection with GAN,” CoRR, vol. abs/1808.07632, 2018. o A. Tuor, S. Kaplan, B. Hutchinson, N. Nichols, and S. Robinson, “Deep learning for unsupervised Insider threat detection in structured cybersecurity data streams,” CoRR, vol. abs/1710.00811, 2017. o Y. Meidan and M. Bohadana and Y. Mathov and Y. Mirsky and A. Shabtai and D. Breitenbacher and Y. Elovici, “N-BaIoT network-based detection of IoT botnet attacks using deep autoencoders,” IEEE Pervasive Computing., vol. 17, no. 3, pp. 12–22, 2018. ناهنجاری تشخیص فنون بر مروری-ذاکری مرتضی23
- 24. ش توجه ازسپاس باما Photo: Spring in IUST )2017( © Morteza Zakeri ن پرسیدن سؤال از دست که است این مهم مسئلهکشید؛ داشتن وجود برای است دلیلی کنجکاوی. انیشتین آلـبرت m o r t e z a _ z a ke r i @ c o m p . i u s t . a c . i r
- 25. کامپیوتر مهندسی دانشکده ناهنجاریتشخیص فنون بر مروری:هایحلراهفناوری روندهای آخرین و موجود An overview of anomaly detection techniques: Existing solutions and latest technological trends کاوی داده درس ارایه نصرآبادی ذاکری مرتضی استاد: رحمانی حسین دکتر آذر97