۳-۳-۱- K-means

این روش علی‌رغم سادگی آن یک روش پایه برای بسیاری از روش‌های خوشه‌بندی دیگر (مانند خوشه‌بندی فازی) محسوب می‌شود. این روش روشی انحصاری و مسطح محسوب می‌شود. برای این الگوریتم شکل‌های مختلفی بیان شده است. ولی همه‌ی آنها دارای روالی تکراری هستند که برای تعدادی ثابت از خوشه‌ها سعی در تخمین موارد زیر دارند: (چاندولا و همکاران ، ۲۰۰۹)

بدست آوردن نقاطی به عنوان مراکز خوشه‌ها این نقاط در واقع همان میانگین نقاط متعلق به هر خوشه هستند.
نسبت دادن هر نمونه داده به یک خوشه که آن داده کمترین فاصله تا مرکز آن خوشه را دارا باشد.
در نوع ساده‌ای از این روش ابتدا به تعداد خوشه‌‌های مورد نیاز نقاطی به صورت تصادفی انتخاب می‌شود. سپس داده‌ها با توجه با میزان نزدیکی (شباهت) به یکی از این خوشه‌ها نسبت داده‌ می‌شوند و بدین ترتیب خوشه‌های جدیدی حاصل می‌شود. با تکرار همین روال می‌توان در هر تکرار با میانگین‌گیری از داده‌ها مراکز جدیدی برای آنها محاسبه کرد و مجدادا داده‌ها را به خوشه‌های جدید نسبت داد. این روند تا زمانی ادامه پیدا می‌کند که دیگر تغییری در داده‌ها حاصل نشود.
معایب روش خوشه‌بندی K-means
با اینکه خاتمه‌پذیری الگوریتم بالا تضمین شده است ولی جواب نهایی آن واحد نبوده و همواره جوابی بهینه نمی‌باشد. به طور کلی این روش دارای مشکلات زیر است:
۱)جواب نهایی به انتخاب خوشه‌های اولیه بستگی دارد.
۲)روالی مشخص برای محاسبه‌ی اولیه مراکز خوشه‌ها وجود ندارد.
۳)اگر در تکراری از الگوریتم تعداد داده‌های متعلق به خوشه‌ای صفر شد راهی برای تغییر و بهبود ادامه‌ی روش وجود ندارد.
۴)در این روش فرض شده است که تعداد خوشه‌ها از ابتدا مشخص است. اما معمولا در کاربردهای زیادی تعداد خوشه‌ها مشخص نمی‌باشد.

۳-۳-۲- خوشه‌بندی پویا^[۱۳۷] برای تشخیص ناهنجاری

به دلیل تغییرات زیاد در توپولوژی شبکه‌های موردی سیار، بکاربردن پروفایل استاتیک نشان دهنده‌ی موقعیت جاری شبکه نیست. این روش اجازه می‌دهد تا پروفایل نرمال به طور پویا به‌روزرسانی شود. در فاز یادگیری از الگوریتم خوشه‌بندی وزن‌دار با عرض ثابت ^[۱۳۸]برای ساخت پروفایل نرمال استفاده می‌شود و در فاز تشخیص از ضرایب وزنی ^[۱۳۹]و معادله‌ی فراموشی ^[۱۴۰]استفاده می‌شود.

۳-۳-۳- استفاده از روش نزدیکترین همسایه در تشخیص ناهنجاری^[۱۴۱]

این روش بر اساس این فرض است که نمونه‌های نرمال در همسایه‌های متراکم اتفاق می‌افتد و نمونه‌های ناهنجار دور از همسایه‌های نزدیک اتفاق می‌افتد. تکنیک نزدیکترین همسایه نیاز به تعریف فاصله یا یک مقدار قابل اندازه‌گیری بین دو نمونه داده دارد. فاصله بین دو نمونه داده به طرق مختلف قابل محاسبه است. برای داده‌های پیوسته فاصله‌ی اقلیدسی بهترین گزینه برای تعیین معیار شباهت می‌باشد. تکنیک‌های تشخیص ناهنجاری از طریق نزدیکترین همسایه به دو دسته‌ی کلی تقسیم‌بندی می‌شود:
از طریق محاسبه فاصله تا k نزدیکترین همسایه ، درجه ناهنجاری مشخص می‌شود.
از طریق محاسبه‌ی تراکم نمونه‌های داده درجه ناهنجاری تعیین می‌شود.
در واقع دسته‌ی اول بدین صورت است که فاصله مجموعه داده‌های موجود تا K نزدیکترین همسایه‌های خود را بدست می‌آورد. روش دیگر در تعیین درجه ناهنجاری شمارش n نزدیکترین همسایه است به طوری که فاصله‌اش از d کمتر باشد. از این تکنیک برای تخمین تراکم عمومی برای هر نمونه داده استفاده می‌شود. برای مثال برای مجموعه داده‌ی دو بعدی تراکم نمونه داده برابر با است. معکوس تراکم درجه ناهنجاری می‌باشد که در بسیاری از مراجع همان را به عنوان درجه‌ی ناهنجاری در نظر می‌گیرند. برای بهبود تاثیر این تکنیک در (وو و جرمنی^[۱۴۲] ، ۲۰۰۶) از تکنیک نمونه‌برداری استفاده شد. بدین صورت که نزدیکترین همسایه‌ها را تا نمونه‌هایی از مجموعه داده‌ها بدست می‌آورد. بنابراین پیچیدگی این الگوریتم را به O(MN) کاهش می‌دهد.
تکنیک دوم بر این فرض استوار است که نمونه‌های ناهنجار در جاهایی که تراکم داده کم است ظاهر می‌شوند و در جاهایی که تراکم زیاد است نمونه‌ها نرمال هستند. این تکنیک زمانی که داده‌ها پراکنده هستند خوب عمل نمی‌کند. برای مثال مجموعه داده‌ی دو بعدی شکل ۳-۱را در نظر بگیرید همانطور که پیداست خوشه‌ی C₁ از تراکم کمی برخوردار است بنابراین به ازای هر نمونه q که در داخل خوشه‌ی C₁ هست فاصله‌اش تا نزدیکترین همسایه‌اش از فاصله‌ی نمونه‌ی p₂ که در داخل خوشه‌ی C₂ هست تا نزدیکترین همسایه‌اش بزرگتر می‌باشد. یکی از مشکلات روش نزدیکترین همسایه این است که کارایی آن به اندازه فاصله وابستگی دارد(وو و جرمنی ، ۲۰۰۶).
C _۱

C _۲
شکل ۳-۱: تکنیک نزدیکترین همسایه (تراکم نمونه‌های کلاس C1 از نمونه‌های کلاس C2 کمتر می‌باشد) (وو و جرمنی^[۱۴۳] ، ۲۰۰۶).

۳-۴- روش تشخیص ناهنجاری مبتنی بر سیستم ایمنی مصنوعی

اغلب روش‌های تشخیص ناهنجاری مبتنی بر سیستم ایمنی مصنوعی در گروه دسته‌بندهای تک کلاسی قرار دارند. اما به دلیل تفاوت‌های بسیاری که بین روش‌‌های مبتنی بر سیستم ایمنی مصنوعی و دسته‌بندها وجود دارد، آنها به صورت جداگانه مورد بررسی قرار می‌گیرد. در این روش‌ها تشخیص ناهنجاری با بهره گرفتن از الگوریتم انتخاب منفی انجام می‌شود و هدف تولید مجموعه‌ای از شناسگرها برای پوشش فضای غیرعادی است(بارانی،۱۳۹۰). داسکوپتا و گونزالس (۲۰۰۲)، روشی برای توصیف ناهنجاری‌ها در شبکه‌های کامپیوتری ارائه دادند که از الگوریتم ژنتیک برای تولید شناسگرهای فرامکعبی شکل برای پوشش فضای غیرعادی استفاده می‌کند. در واقع این شناسگرها در قالب مجموعه‌ای از قوانین نمایش داده می‌شوند که قسمت شرط قوانین با همان فرامکعب‌ها نمایش داده می‌شوند. برازندگی هر قانون مبتنی بر حجم فرامکعب متناظر با آن قانون و تعداد فراکره‌های عادی هم‌پوشان با آن فرامکعب محاسبه می‌شود. شکل ۳-۲ الگوریتم توزیع شناساگرهای فرامکعبی در فضای غیرعادی با بهره گرفتن از نمونه‌های عادی کروی شکل را نشان می‌دهد.
شکل ۳-۲: تولید شناسگر فرامکعبی شکل برای پوشش فضای غیرعادی با بهره گرفتن از نمونه‌های عادی کروی شکل (داسکوپتا و گونزالس ،۲۰۰۲).
استازوسکی ^[۱۴۴] و همکاران (۲۰۰۶)، روشی مشابه روش فوق برای تشخیص ناهنجاری ارائه کرده‌اند که در آن هم شناساگرهای منفی و هم نمونه‌های عادی توسط فرامکعب‌ها نمایش داده می‌شوند. شکل ۳-۳ این موضوع را به تصویر کشیده است.
شکل ۳-۳: توزیع شناسگرهای فرامکعبی در فضای غیرعادی با بهره گرفتن از نمونه‌های عادی مکعبی شکل(استازوسکی و همکاران ،۲۰۰۶).
سرافی جانویک^[۱۴۵] و همکاران (۲۰۰۴) یک روش تشخیص ناهنجاری مبتنی بر الگوریتم انتخاب منفی، تئوری خطر و انتخاب کلون، برای تشخیص گره‌های بدخواه در شبکه‌های اقتضایی متحرک مبتنی بر پروتکل DSR ارائه کرده اند که این روش چهار مرحله دارد. در مرحله اول ، مجموعه اولیه شناساگرها تولید می شوند. در مرحله دوم، تشخیص و دسته‌بندی گره بدخواه در شبکه انجام می‌شود و همچنین به طور هم‌زمان این شناساگرها با بهره گرفتن از الگوریتم انتخاب کلون با رفتارهای بدخواهانه انجام شده در طول این مرحله تطیبیق پیدا می‌کنند. در مرحله سوم، هیچ رفتار بدخواهانه‌ای در شبکه انجام نمی‌شود و سیستم گره‌های تشخیص داده شده به عنوان بدخواه را فراموش کرده و مجموعه شناساگرهای تولید شده در پایان مرحله دوم بدون تغییر باقی می‌مانند. در مرحله چهارم، رفتارهای بدخواهانه‌ای مشابه مرحله دوم در شبکه انجام می‌شود و تشخیص و دسته‌بندی گره‌های بدخواه در این مرحله با بهره گرفتن از شناساگرهای متفاوتی انجام خواهد شد.
به طور مشابه، بالچاندران و همکاران(۲۰۰۷)، یک روش تشخیص ناهنجاری مبتنی بر رفتار پروتکل DSR ارائه کرده‌اند که در آن شناساگرها با ساختارهای متفاوت نمایش داده شده و با بهره گرفتن از یک الگوریتم ژنتیک ساخت‌یافته (SGA^[146]) تولید می‌شوند. شکل ۳-۴ یک کرومزوم چند سطحی متشکل از سه نوع شناساگر فراکروی، فرامکعبی و فرابیضوی نمایش می‌دهد. بیت کنترلی معرف شناساگر فعال در هر کرومزوم می‌باشد.
شکل ۳-۴: نمایش یک کرومزوم چند سطحی(بالچاندران و همکاران،۲۰۰۷).
زی^[۱۴۷] و همکاران (۲۰۰۶) ، سیستمی به نامAISANIDS برای تشخیص حملات در شبکه های اقتضایی متحرک ارائه دادند که شامل دو زیر سیستم IDS اولیه و IDS ثانویه است. IDS اولیه از یک مولفه تحلیل به صورت متمرکز برای ساخت تشخیص دهنده استفاده می کند. IDS ثانویه به صورت توزیع شده داده ­ها را جمع آوری و دسته بندی می کند و سپس تشخیص و پاسخگویی به نفوذ را انجام می دهد.
کارهای صورت گرفته در ادبیات موضوع نشان دهنده این مطلب است که الگوریتم انتخاب منفی در حوزه تشخیص نفوذ از کارایی بالایی برخوردار است و گزینه مناسبی جهت طراحی سیستم­های تشخیص نفوذ مبتنی بر ناهنجاری می­باشد. به همین جهت در این پژوهش از الگوریتم NSA برای ارائه یک راهکار تشخیص نفوذ در شبکه ­های اقتضایی متحرک استفاده شده است. در راهکار پیشنهادی هدف دستیابی به نرخ تشخیص بالا و نیز کاهش نرخ هشدار غلط می باشد که لازمه­ی هر سیستم تشخیص نفوذ کارآمدی است. هنگام استفاده ازNSA شاهد این هستیم که مثبت غلط^[۱۴۸] و به طور کلی هشدار غلط^[۱۴۹] در نواحی مرزی بین منطقه نرمال و منطقه غیر نرمال اتفاق می افتد. بنابراین برای ارتقای بهره وری مکانیسم تشخیص در این الگوریتم ، ایجاد پوشش موثر در نواحی مرزی از اهمیت زیادی برخوردار است. دو مشکل اساسی در الگوریتم های NS همیشه به چشم می خورد. یکی مسئله حفره های پوشش داده نشده در نقاط مرزی است و دیگری شناساگرهای نا معتبر بسیاری که قادر به کشف آنومالی نیستند. این شناساگرهای نامعتبر در نواحی مرزی ایجاد می شوند بنابراین برای کاهش هشدار غلط نیازمند برطرف کردن این مشکلات هستیم. در این پژوهش با مرتفع کردن این مشکلات و ایجاد بهبود در عملکرد الگوریتم انتخاب منفی، سعی در ارائه راهکاری بهینه برای تشخیص نفوذ در شبکه های اقتضایی متحرک شده است که بتواند نرخ تشخیص را بالا و نرخ هشدار غلط را پایین بیاورد .

۳-۵- جمع بندی

با توجه به ویژگی های خاص شبکه های اقتضایی متحرک مانند عدم وجود زیرساخت ثابت و مدیریت متمرکز، تکنیک‌های جلوگیری از نفوذ به تنهایی برای برقراری امنیت کامل در این شبکه‌ها به کافی نیستند. بنابراین تکنیک‌های تشخیص نفوذ به عنوان دومین خط دفاعی وجود حمله در شبکه را تشخیص می دهند. به دلیل محدود بودن منابع گره‌های شرکت کننده در شبکه‌های اقتضایی متحرک ، روش‌های مبتنی بر ناهنجاری برای تشخیص نفوذ در این نوع شبکه‌ها مناسب‌تر می‌باشند. در این فصل مروری بر ادبیات موضوع تشخیص نفوذ در شبکه های اقتضایی متحرک انجام گرفت .یکی از جدیدترین و کارآمدترین روش ها برای تشخیص نفوذ در شبکه های اقتضایی متحرک ، سیستم ایمنی مصنوعی می باشد که در این فصل پژوهش­های صورت گرفته در این زمینه مورد بررسی قرارگرفت .
در فصل بعدی راهکاری برای تشخیص نفوذ در شبکه های اقتضایی متحرک بر اساس روش سیستم ایمنی مصنوعی و با بهره گرفتن از الگوریتم انتخاب منفی ارائه خواهد شد.

فصل چهارم:راهکار پیشنهادی

۴-۱- مقدمه

هر الگوریتم انتخاب منفی شامل دو فاز است : فاز آموزش شناساگرها و فاز تشخیص غیرخودی. در فاز اول، به طور تصادفی مجموعه‌ای از نمونه‌های عادی را به­عنوان ورودی می‌پذیرد و مجموعه‌ای از شناسگرهای کاندید تولید می‌شود. سپس، شناسگرهای کاندید منطبق‌یافته با نمونه‌های عادی حذف می‌شوند، در حالی که شناسگرهای منطبق نیافته با نمونه‌های عادی نگهداری می‌شوند. در فاز دوم، شناسگرهای ذخیره شده (تولید شده در فاز اول) برای بررسی نمونه‌های ورودی استفاده می‌شوند. اگر یک نمونه ورودی با حداقل یک شناساگر منطبق شود، آن نمونه ورودی غیرعادی محسوب خواهد شد. در شکل ۴-۱ فازهای آموزش و تشخیص الگوریتم انتخاب منفی( NS ) نشان داده شده است.
شکل ۴-۱- فاز آموزش وفاز تشخیص در الگوریتم NS (یانگلی و زنگ ، ۲۰۰۹).
اخیرا الگوریتم­های زیادی از روی الگوریتم انتخاب منفی ارائه شده اند که اغلب حول مکانیسم­های اصلی این الگوریتم مانند نمایش شناساگرها، تولید شناساگرها و قوانین تطبیق ، توسعه داده شده اند.
نمایش شناساگر
نمایش شناساگر در الگوریتم انتخاب منفی مکانیسم پایه­ای است که روش تولید شناساگرها و تطبیق را تعیین می­ کند. هم اکنون دو روش نمایش برای شناساگرها وجود دارد : نمایش دودویی و نمایش حقیقی.
بالدروپ^[۱۵۰] و همکاران (۲۰۰۲) نشان داد که نمایش دودویی برای کاربردهای محیط واقعی مناسب نیست و بسیارمحدودکننده است. پس ازآن گونزالس و همکاران (۲۰۰۳) و گونزالس و داسکوپتا (۲۰۰۳) الگوریتم انتخاب منفی با نمایش حقیقی (RNSA) را ارائه دادند که در آن شناساگرها و آنتی ژن­ها توسط بردارهای حقیقی و در واقع به شکل فراکره­ها نمایش داده می شوند .
تولید شناساگر
روش­های تولید شناساگر شامل روش تولید شناساگر تصادفی^[۱۵۱] ، روش جهش^[۱۵۲] و روش مدل^[۱۵۳] می باشد که به طور معمول در الگوریتم های انتخاب منفی از روش تصادفی برای تولید شناساگر استفاده می شود. در روش تصادفی شناساگر مورد نظر به طور تصادفی در یک محدوده معین تولید می شود. در روش جهش ابتدا شناساگرها به شکل تصادفی ایجاد شده سپس شناساگرهای غیر فعال نرمال، فراجهش می یابند و به شناساگرهای فعال تبدیل می شوند. ون جی ان^[۱۵۴] و همکاران(۲۰۰۶)، روش ایجاد شناساگرها بر اساس برخی مدل های از پیش تعیین شده را پیشنهاد کرده اند.