سامانههای تشخیص نفوذ، وظیفه شناسایی و تشخیص هرگونه ورود غیرمجاز به سیستم، سوء استفاده و یا آسیبرسانی را بر عهده دارند، که با استفاده از تحلیل بستههای شبکه، قادر به پیشگیری از حملات سایبری است. در حال حاضر یکی از چالشهای عمده در استفاده از این ابزار کمبود الگوهای آموزشی حملات در بخش موتور تحلیل است، که باعث عدم آموزش کامل موتور تحلیل و درنتیجه تولید حجم بالایی از هشدارهای غلط خواهد شد. از طرفی بالابودن زمان آموزش سامانههای تشخیص نفوذ، موجب تأخیر قابل توجهی در بخش آموزش سامانه به همراه خواهد داشت. پژوهش پیش رو نیز تلاشی است برای ارائه یک راهکار تشخیص نفوذ مبتنی بر امضا با محوریت مدل مخفی مارکوف تکاملی با نام EHMM که در راستای غلبه بر چالشهای مطرحشده ارائه شده است. مهمترین بخش مدل مخفی مارکوف، تنظیم مقادیر پارامترهای آن است که هر چه این مقادیر بهینهتر باشند، مدل مخفی مارکوف با دقت بیشتری قادر به پیشبینی احتمال مقادیر بعدی خواهد بود؛ لذا در این پژوهش سعی شده است بر مبنای تحلیل مجموعهداده NSL-KDD با استفاده از الگوریتم برنامهنویسی تکاملی، پارامترهای بهینه را برای مدل مخفی مارکوف انتخاب کرده و به نوعی آن را تعلیم دهیم؛ سپس با بهرهگیری از آن، انواع حملات موجود در مجموعهداده را شناسایی کنیم. برای ارزیابی میزان موفقیت مدل پیشنهادی EHHM در ارتقای درصد صحت تشخیص نفوذ، سامانه پیشنهادی و همچنین روش قبلی در محیط شبیهسازی MATLAB پیادهسازی شدهاند. نتایج پژوهش نشان میدهد، مدل EHMM، درصد تشخیص نفوذ را از متوسط 87% (در استفاده از مدل مخفی مارکوف معمولی) به بیش از 92% (در استفاده از مدل مخفی مارکوف تکاملی) افزایش میدهد. همچنین پس از آموزش کامل داده آموزشی به هر دو روش مبتنی بر مدل مارکوف معمولی و تکاملی، زمان آموزش سامانه مورد نظر برای یک مجموعهداده حدود شامل دویستهزار رکوردی، از متوسط 489 دقیقه در روش معمولی به کمتر از چهارصد دقیقه در روش پیشنهادی کاهش یافته است. حصول این نتیجه و عملیاتیکردن آن در سامانههای تشخیص نفوذ، میتواند موجب ارتقای توان دفاعی کشور در مقابل هجمههای سایبری دشمن شود.
درویشی محمد، غیوری مجید. تشخیص نفوذ در شبکههای رایانهای با استفاده از مدل مخفی مارکوف تکاملی. امنیت فضای تولید و تبادل اطلاعات (منادی). 1398; 8 (2) :3-16
