بررسي روش های تحلیل رفتارکاربران در شبکه استاد راهنما: دکتر کیارش میزانیان استاد ممتحن: دکتر فضل اله ادیب نیا ارائه دهنده : زهرا سلطانی محمدی پاییز 94

فهرست مطالب مقدمه روش های شناسایی ترافیک شبکه نتیجه گیری شناسایی سطح بسته شناسایی سطح جریان شناسایی سطح میزبان روش های یادگیری ماشین نتیجه گیری

مقدمه رفتار در شبکه های کامپیوتری چالش های مورد بررسي در ترافیک شبکه خود شبیهي ابعاد پویایی 1/22

پژوهش های انجام شده 2/22

بررسي روش های شناسایي ترافیک شبکه شناسایی سطح بسته 1 شناسایی سطح جریان 2 شناسایی سطح میزبان 3 تکنیک های یادگیری ماشین 4 3/22

شناسایی سطح بسته Port_based یک قانون، به عنوان یک الگوی ثابت از یک برنامه ی کاربردی هدف تعریف می شود و وجود آن برای هر بسته در شبکه چک می شود. Port_based شماره پورت بسته ها چک می شود. براساس ليست IANA از شماره پورت های شناخته شده و ثبت شده، نوع برنامه ی کاربردی مشخص می شود. مزایا: سرعت بالا مصرف منابع اندک پشتيبانی و امکان پياده سازی در بسياری از ابزار شبکه عدم بررسی payload معایب قابل استفاده فقط در تشخيص پروتکل ها و برنامه های کاربردی با شماره پورت های ثابت 4/22

شناسایی سطح بسته _ ادامه Payload_based یک بررسی عميق بروی بسته انجام می دهد تا بتواند زیررشته ای که بيان کننده ی برنامه کاربردی هر بسته است را پيدا کند. مزایا : سرعت و دقت بالا محدودیت ها: عدم پاسخگویی در برابر رمزنگاری سربارهای پردازشی نبود مستندات کافی در مورد یک پروتکل انحصاری 5/22

شناسایی سطح جریان یک جریان مجموعه ای از بسته هاست که در پنجتایی اطلاعات سرآیند بسته ی ip، شماره پورت مبدا و مقصد و پروتکل لایه انتقال یکسان هستند. شناسایی سطح جریان، از اطلاعات آماری جریان ها استفاده می کند : مثل تعداد بسته ها و بایت های درون یک جریان، نرخ داده ی (bitrate)یک جریان، سایز بسته ها، مدت و زمان بين رسيدن بسته ها. این روش را میتوان به دو دسته تقسيم نمود : روشهای براساس یادگيری روشهای توزیع شده 6/22

شناسایی سطح میزبان یک ميزبان را براساس یک توصيف پروفایل از رفتار ترافيک آن کاربر، شناسایی می کند. این روش رفتار ترافيک یک ميزبان هدف، را با یک الگوی ارتباطی از قبل تعریف شده چک می کند. مزایا : این روش یک راه ساده است. می تواند ترافيک را بدون نياز و استفاده از شماره پورت و دیتای آن شناسایی کند. محدودیت : دشواری در تشخيص زیرشاخه ی برنامه های کاربردی متمایز در یک ميزبان(مثلا نوع p2p) 7/22

الگوریتم های یادگیری ماشین با توجه به اهمیت اینترنت، تکنیک های یادگیری ماشین متفاوتی، برای کلاس بندی ترافیک شبکه به طور دقیق و کارا اعمال شده اند. گام های کلاس بندی بر اساس تکنيک های یادگيری ماشين : جمع آوری ترافیک شبکه بصورت جریان های ترافیک محاسبه ی ویژگیهای آماری جریان که این ویژگی ها صفت ناميده می شوند مثل : کمترین، بيشترین سایز بسته ، واریانس طول بسته، طول جریان ،جهت بسته ها و زمان ورود بسته ها. کلاس بندی کننده بر اساس یادگيری ماشين، بر روی ویژگی هایی که از جریان های برچسب زده بدست آمده اند اموزش می بيند . سپس الگوریتم های یادگيری ماشين برای کلاس بندی ترافيک های ناشناخته مورد استفاده قرار می گيرد. 8/22

الگوریتم های یادگیری ماشین_ادامه الگوریتم یادگیری ماشین نظارتی (Supervised) دو فاز مهم آموزش و تست الگوریتم یادگیری ماشین غیر نظارتی (Unsupervised) مفهوم خوشه بندی 9/22

Naive Bayes classifier تخمین توزیع گوسین یک صفت برای هر کلاس براساس داده های آموزشی برچسب گذاری شده انتساب ارتباط جدید براساس احتمال شرطی و ارزش صفات به یکی از کلاس ها احتمال تعلق یه یک کلاس برای هر صفت با قانون بیز به صورت زیر محاسبه می شود: A معرف کلاس و B یک مقدار صفت ثابت است . احتمال شرطی در هم ضرب می شوند و احتمال تعلق یک شی به کلاس داده شده بدست می آید. 10/22

Feed forward Neural Network classifier اولین و ساده ترین روش شبکه عصبی انتقال اطلاعات در این شبکه تنها در یک جهت عدم وجود دور یا حلقه در این نوع شبکه 11/22

C4.5 Decision tree classifier بهبود یافته ی الگوریتم (Iterative Dichotomiser 3 (ID3 است که برای پیداکردن ساده ترین درخت تصمیم استفاده می شود. درخت تصمیم درختی است که در آن نمونه ها را به نحوی دسته بندی می کند که از ریشه به سمت پائین رشد می کنند و در نهایت به گره های برگ می رسد: هر گره داخلی یاغیر برگ (non leaf) با یک ویژگی (attribute) مشخص می شود. این ویژگی سوالی را در رابطه با مثال ورودی مطرح میکند. درهر گره داخلی به تعداد جوابهای ممکن با این سوال شاخه (branch) وجود دارد که هر یک با مقدار آن جواب مشخص میشوند. برگهای این درخت با یک کلاس و یا یک دسته از جوابها مشخص میشوند. علت نامگذاری آن به درخت تصمیم این است که این درخت فرایند تصمیم گیری برای تعیین دسته یک مثال ورودی را نشان میدهد. 12/22

نمايي از يك درخت تصميم گيري 13/22

Unsupervised (Clustering) Methods خوشه بندی یک تکنیک یادگیری ماشین غیر نظارتی است که براساس شباهت بین مقادیرخصوصیت ها، نمونه ها را خوشه میکند. فاز آموزش ندارد و بر روی پیدا کردن الگو در داده های ورودی تمرکز دارد. هدف اصلی خوشه بندی، گروه بندی بسته هایی است که الگوی مشابه دارند. 14/22

DBSCAN based Approach یک الگوریتم خوشه بندی است که براساس چگالی عمل می کند. دو پارامتر ورودی داریم epsilon (Eps) minimum number of points (minPts) دو مفهموم شکل دهنده ی خوشه ها : density-connectivity density-reachablity 15/22

K-Means based Approach الگوریتم خوشه بندی K-Meansیک الگوریتم تقسیم محور است به این معنی که اشیای یک مجموع را به k زیرمجموعه ی متمایز تقسیم می کند. این الگوریتم همگنی خوشه ها را زیاد میکند و پارامتر square error را کاهش می دهد . :square error فاصله ی بین هر شی و مرکز یا میانه ی آن خوشه در ابتدا نقاط مرکز k خوشه به صورت تصادفی انتخاب می شوند. بعد از آن مجموعه داده به نزدیکترین خوشه بخش بندی میشوند. الگوریتم به صورت تکراری مراکز و خوشه های جدید را به ترتیب محاسبه می کند این پروسه تا زمانی که خوشه ها پایدار شوند ادامه پیدا میکند . 17/22

نتیجه گیری اهميت تحليل ترافيک شبکه های کامپيوتری و کاربرد آن در شناسایی رفتارهای غيرمعمول از معمول شناسایی برنامه های کاربردی در حال اجرا تضمين کيفيت سرویس در شبکه بررسی روش های موجود در شناسایی ترافيک شبکه کاربرد روشهای یادگيری ماشين در شناسایی ترافیک شبکه 18/22

منابع [1] A. V. BARSAMIAN, “Network Characterizaion For BOTNET Detection Using Statistical Behavioral Method,” A Thesis Submitt. to Fac. Partial fulfillment Requir. degree Master Sci., no. 1, pp. 1–5, 2014. [2] [Online]. Available: http://www.iana.org/assignments/service-names-portnumbers/service-names-port- numbers.xhtml. [3] A. W. Moore and K. Papagiannaki, “Toward the Accurate Identification of Network Applications.” [4] A. Jamuna and V. E. S. E, “Efficient Flow based Network Traffic Classification using Machine Learning,” vol. 3, no. 2, pp. 1324–1328, 2013. [5] T. Karagiannis, “BLINC : Multilevel Traffic Classification in the Dark.” [6] S.-H. Y. J.-S. P. andMyung-S. Kim, “Behavior Signature for Fine-grained Traffic Identification.” [7] Y. Hong, C. Huang, B. Nandy, and N. Seddigh, “Iterative-Tuning Support Vector Machine For Network Traffic Classification,” pp. 458–466, 2015. [8] C. Technologies, “PERFORMANCE ANALYSIS OF UNSUPERVISED MACHINE LEARNING TECHNIQUES FOR,” 2015.

منابع _ ادامه [9] N. Namdev, S. Agrawal, and S. Silkari, “Recent Advancement in Machine Learning Based Internet Traffic Classification,” Procedia Comput. Sci., vol. 60, pp. 784–791, 2015. [10] K. Singh, “A Near Real-time IP Traffic Classification Using Machine Learning,”no. February, pp. 83–93, 2013. [11] W. Zhou, L. Chen, S. Dong, and L. Dong, “Feed-Forward Neural Networks for Accurate and Robust Traffic Classification,” vol. 4, no. June, pp. 1–10, 2012. [12] J. Erman, J. Erman, A. Mahanti, and M. Arlitt, “QRP05-4 : Internet Traffic Identification using Machine Learning Internet traffic Identification using Machine Learning,” no. October, 2015.

با تشکر