tsta

Home / دومین کنفرانس ملی عصر انفجار تکنولوژی؛ هوش مصنوعی، تحولی در صنعت، تجارت و زنجیره تامین و دومین کنفرانس ملی علم داده در کاربردهای مهندسی

شناسایی خودکار حملات روز صفر با رویکرد چندفازی در تولید امضاهای Snort

Authors :

مازیار کریمی¹ سعید مهرجو²

1- موسسه آموزش عالی پیشتازان 2- دانشگاه آزاد اسلامی واحد داریون

Keywords :

اسنورت،Snort،حملات روز صفر،Zero‑day attacks،سامانه تشخیص نفوذ،Intrusion Detection System،شبکه عصبی عمیق،Deep Neural Network،ماشین بردار پشتیبان،Support Vector Machine

Abstract :

با رشد روزافزون تهدیدات سایبری و پیچیده‌تر شدن الگوهای نفوذ، توانمندسازی سامانه‌های تشخیص نفوذ (IDS) برای شناسایی تهدیدات نوظهور ضرورتی اساسی یافته است. حملات روز صفر به دلیل فقدان امضا در پایگاه داده، از چالش‌برانگیزترین تهدیدات محسوب می‌شوند. هدف این پژوهش ارائه چارچوبی سه‌مرحله‌ای است که با ترکیب خوشه‌بندی مبتنی بر ماشین بردار پشتیبان (SVM) بهینه و شبکه عصبی عمیق (DNN)، فرایند تولید امضای Snort را به‌صورت خودکار و بلادرنگ انجام می‌دهد. در مرحله نخست، داده‌های ترافیک شبکه از مخازن معتبر CICIDS و UNSW‑NB15 استخراج و با نرمال‌سازی و کاهش ابعاد آماده‌سازی می‌شوند. سپس SVM بهینه‌شده با هسته RBF، جریان‌ها را به خوشه‌های مشکوک و غیرمشکوک تفکیک می‌کند. در مرحله دوم، بر روی خوشه مشکوک، DNN چندلایه با فعال‌ساز ReLU و Softmax و مکانیزم Dropout آموزش می‌بیند تا الگوهای عمیق حملات استخراج شوند. نهایتاً، خروجی مدل به قواعد Snort با شناسه یکتا و متاداده لازم نگاشت شده و مستقیماً به پایگاه قوانین IDS افزوده می‌شود. ارزیابی‌ها نشان داد که این رویکرد نرخ تشخیص حملات روز صفر را نسبت به Snort پایه تا ۲۳٪ افزایش داده و نرخ مثبت کاذب را ۱۴٪ کاهش داده است. همچنین، تولید و افزودن امضا به Snort به‌طور میانگین کمتر از ۵ ثانیه طول کشیده که امکان واکنش بلادرنگ را فراهم می‌سازد. اهمیت کاربرد نتایج این روش در محیط‌های عملیاتی با ترافیک بالا و تهدیدات پویا نمایان می‌شود، چرا که می‌تواند جایگزینی هوشمند، سریع و کم‌هزینه برای فرآیند دستی به‌روزرسانی امضاها باشد و مسیر را برای نسل آینده IDSهای خودکار و انطباق‌پذیر هموار کند.