۸راه برای افزایش امنیت شبکه های سیمی

۸راه برای افزایش امنیت شبکه های سیمی

شبکه

امنیت شبکه

 

وقتی صحبت از امنیت شبکه می شود، اکثرا ذهن ما سمت شبکه های بیسیم می رود، چرا که هیچ محافظ یا بستر فیزیکی وجود ندارد.
اما در دنیای امروز که مفهومی تحت عنوان ” مهندسی اجتماعی ” ( Social Engineering ) رواج یافته است، هکرها از خارج از شبکه، توسط افراد حاضر در شبکه سیمی، به شبکه های شرکت ها دسترسی فیزیکی پیدا می کنند.
*مهندسی اجتماعی: این مفهوم در زمینه ” امنیت اطلاعات “، به دستکاری روانشناختی ، جهت انجام برخی اقدامات یا افشای اطلاعات محرمانه اشاره دارد.
در این دنیای جدید، می توان با اطمینان گفت که اولویت اصلی برای تامین امنیت شبکه، به تمرکز برای تامین این امنیت در لایه یسیمی شبکه باید باشد.
به همین منظور، فارغ از اینکه شما دارای یک کسب و کار کوچک یا بزرگ هستید، برخی اقدامات امنیتی لازم برای تامین امنیت بخش سیمی و فیزیکی شبکه شما، طی دو مقاله ۴ بخشی، به شرح زیر ارائه می شود:

۱- انجام حسابرسی و نقشه برداری

لازم است که برای شبکه خودتان مقداری حسابرسی و نقشه برداری انجام دهید. همواره یک شناخت شفاف و واضح از ساختار و زیرساخت شبکه خود داشته باشید. به عنوان مثال، از مدل، محل قرارگیری، و تنظیمات اساسی فایروال ها، روترها، سوئیچ ها، سیم کشی های اترنت، درگاه های ورودی و اکسس پوینت ها اطلاع کامل داشته باشید. همچنین بدانید که دقیقا چه سرورها، کامپیوترها، پرینترها و کلا دستگاه هایی به شبکه متصل هستند، در چه مکانی متصل هستند و این اتصال از چه طریقی انجام گرفته است.

در حین این بررسی شما ممکن است برخی رخنه های بوجود آمدن تهدید های امنیتی یا راه حل هایی برای افزایش امنیت و کارایی شبکه بیابید. همچنین ممکن است از یک تنظیمات اشتباه فایروال یا تهدید های فیزیکی شبکه با خبر شوید.
اگر شما در حین کار با یک شبکه نسبتا کوچک شامل تعداد کمی سیستم هستید، شاید بتوانید نقشه شبکه را حتی بر روی یک کاغذ ترسیم کنید. اما اگر با یک شبکه بزرگ سر و کار دارید، باید از یک نرم افزار برای نقشه برداری و حسابرسی شبکه خود بهره ببرید. چرا که این نرم افزار ها علاوه بر قابلیت اسکن کردن کل شبکه شما، توانایی ایجاد یک نقشه شبکه و ترسیم آن را نیز دارند.

امنیت شبکه

انجام حسابرسی و نقشه برداری شبکه

۲- شبکه را به روز رسانی کنید

وقتی که نقشه برداری و حسابرسی پایه ای شبکه خود را به پایان رساندید، در فکر اقدامی عمیق تر باشید. به دنبال به روز رسانی سیستم عامل و نرم افزار های کلیه دستگاه های زیرساخت شبکه خود باشید. به تمامی این دستگاه ها وارد شوید و مطمئن شوید که رمز عبور های پیش فرض تغییر یافته اند. تنظیمات را بررسی کنید تا اگر به موردی غیر قابل اطمینان در آن ها برخوردید، آن را تغییر دهید.
سپس نگاهی به کلیه دستگاه ها و کامپیوترهای متصل به شبکه بیاندازید. مطمئن شوید که تمامی اصول انجام گرفته باشد. از جمله این اصول می توان به به روز رسانی کردن درایور ها، فعال بودن فایروال ها، در حال اجرا و به روز بودن آنتی ویروس ها، و ست بودن پسورد ها اشاره کرد.

 

امنیت شبکه سیمی

شبکه خود را به روزرسانی کنید

۳- شبکه را از لحاظ فیزیکی امن کنید

با نگاهی واقع بینانه می توان گفت، امنیت فیزیکی شبکه، به اندازه ی فایروال مواجه با اینترنت حیاتی است. شما به همان اندازه که احتیاج دارید شبکه خود را از خطر هکر ها مصون بدارید، نیاز دارید که تهدید های محلی را از شبکه خود دور نگاه دارید.

عدم دارا بودن امنیت فیزیکی قدرتمند شبکه، می تواند موجب سو استفاده توسط یک هکر که در نزدیکی شبکه محلی شما، یا حتی یکی از کارمندان شما بشود. برای مثال آنها می توانند یک درگاه اترنت را به یک روتر متصل کنند و افرادی از خارج از شبکه بتوانند به شبکه شما دسترسی پیدا کنند. در صورتی که اگر آن درگاه در دسترس نباشد این اتفاق رخ نخواهد داد.

مطمئن شوید که یک طرح امنیتی مناسب برای جلوگیری از ورود افراد به ساختمان مجهز به شبکه شما وجود دارد. پس از آن، از اینکه تجهیزات زیرساختی شبکه و کابل کشی های مرتبط با شبکه شما، از دسترسی فیزیکی عموم و حتی کارکنان ایمن باشد، اطمینان حاصل کنید. درگاه های اترنتی که مورد استفاده نیستند را یا از لحاظ فیزیکی قطع کنید، یا از طریق تنظیمات روتر و سوئیچ مورد نظر، آن درگاه را غیر فعال کنید. این اقدام را حتما روی دستگاه هایی که در معرض عموم قرار دارند حتما انجام دهید.

۴- از فیلترگذاری MAC Address استفاده کنید

مورد امنیتی بسیار مهم در بخش سیمی شبکه، فقدان یک راه احراز هویت یا روش رمزگذاری آسان و سریع است. افراد می توانند سیم را به دستگاه متصل کنند  وصل شوند. در بخش بدون سیم شبکه شما حداقل WPA2-Personal یا PSK را در اختیار دارید که پیاده سازی آن آسان است.
اگرچه عبور از فیلترگذاری MAC Address می تواند توسط یه هکر انجام شود، اما این فیلتر گذاری، می تواند به عنوان لایه اول امنیتی، به ما کمک کند.

شاید این فیلترینگ نتواند جلوی یک هکر را بگیرد، اما می تواند از اشتباه یک کارمند، در اجازه دادن به یک کاربر میهمان برای اتصال به اینترنت، جلو گیری کند. همچنین این امکان را نیز برای شما فراهم می کند که برای اتصال و یا عدم اتصال برخی دستگاه ها یا کاربران خاص نظارت داشته باشید.

نکته ای که باید در نظر داشته باشید این است که استفاده از این فیلتر گذاری، داشتن امنیت کاذب را به ذهن شما الهام نبخشد و نکته ی مهم برای کارایی این فیلترگذاری، به روز رسانی مداوم لیست MAC Address است برای بهبود امنیت شبکه سیمی.

 

امنیت شبکه

فیلترگذاری MAC Address

 

۵٫ از VLAN ها برای جدا کردن ترافیک استفاده کنید

اگر شما با یک شبکه ی کوچک کار می کنید که تقسیم بندی به LAN های مجازی نشده است ، عوضش کنید زیرا این قضیه امنیت شبکه سیمی شمارا به خطر می اندازد. شما می توانید از VLAN ها برای گروهی کردن پورت اترنت استفاده کنید .

یک استفاده از VLAN ها برای جدا کردن شبکه بنا به نوع ترافیک ( دسترسی عمومی ،VoIP، SAN،DMZ) برای کارایی یا طراحی دلیل یا نوع کاربر (کارمند ها ، مدیران ، مهمان ها ) برای دلایل امنیتی است . VLAN ها مخصوصا برای پیکر بندی داینامیک نیز مهم هستند . برای مثال ، شما می توانید لپ تاپتان را به برق بزنید در هر جایی از شبکه و اتوماتیک به VLAN وصل شود .

برای استفاده از VLAN، روتر و سوییچ شما باید آن را ساپورت کنند . IEEE802.1Q را برا اطمینان یافتن از این قضیه سرچ کنید. و برای اکسس پوینت شبکه ، شما ممکن است بخواهید هر دو تگ VLAN و SSID ها را ساپورت کند با چندین SSID شما امکان استفاده از چندین VLAN مجازی را خواهید داشت.

۶٫ برای احراز هویت از ۸۰۲٫۱x استفاده کنید

معمولا از احراز هویت و رمز نگاری به خاطر پیچیدگی در شبکه های LAN غافل می شوند. هکر ها می توانند به سادگی وارد شبکه شما شوند به وسیله استفاده از کابل و امنیت شبکه سیمی را تهدید کنند.

۸۰۲٫۱x به رمز نگاری کمک نمیکند ولی اجازه نخواهد داد که هر دستگاهی بدون احراز هویت به سیستم وصل شود.
دیگر استفاده از ۸۰۲٫۱x کمک به کاربران برای وصل شدن به VLAN است.
برای برقرار کردن ۸۰۲٫۱x شما ابتدا نیاز به احراز هویت از راه دور کاربران RADIUSدارید اگر شما ویندوز سرور دارید نیازی به نصب RADIUS نیست نقش های NETWORK POLICY یا در ویندوز سرور های قدیمی IAS .

۷٫ از VPN ها برای رمز نگاری سیستم های انتخابی استفاده کنید

باید بدانید حتی با وجود ۸۰۲٫۱x و VLAN هکر می تواند به شبکه شما گوش دهد و به رمز ها و ایمیل ها و… دسترسی پیدا کند و امنیت شبکه سیمی شما را تهدید کند.

برای جلوگیری از این کار در موارد حساس می توانید از کانال امن(VPN) استفاده کنید

۸٫ تمام شبکه را رمز نگاری کنید

شما می توانید توسط IPsec تمام شبکه خود را رمزنگاری کنید.

ویندوز سرورامکان استفاده از IPsec را برای شما برای بهبود امنیت شبکه سیمی فراهم کند.

 

منبع : network world

We sometimes focus more on the wireless side of the network when it comes to security because Wi-Fi has no physical fences. After all, a war-driver can detect your SSID and launch an attack while sitting out in the parking lot.

But in a world of insider threats, targeted attacks from outside, as well as hackers who use social engineering to gain physical access to corporate networks, the security of the wired portion of the network should also be top of mind.

So, here are some basic security precautions you can take for the wired side of the network, whether you’re a small business or a large enterprise.

۱٫ Perform auditing and mapping

If you haven’t recently, you should do some auditing and mapping of your network. Always have a clear understanding of the entire network’s infrastructure, for instance the vendor/model, location, and basic configuration of firewalls, routers, switches, Ethernet cabling and ports, and wireless access points. Plus know exactly what servers, computers, printers, and any other devices are connected, where they are connected, and their connectivity path throughout the network.

During your auditing and mapping you might find specific security vulnerabilities or ways in which you could increase security, performance and reliability. Maybe you’ll run across an incorrectly configured firewall or maybe physical security threats.

If you’re working with a small network with just a few network components and a dozen or less workstations you might just manually perform the audit and create a visual map on a sheet of a paper. For larger networks you might find auditing and mapping programs useful. They can scan the network and start to produce a network map or diagram.

۲٫ Keep the network up-to-date

Once you have a basic network audit and map complete, consider diving deeper. Check for firmware or software updates on all network infrastructure components. Login to the components to ensure default passwords have been changed, review the settings for any insecure configuration, and look into any other security features or functionality you currently aren’t using.

Next take a look at all the computers and devices connected to the network. Ensure the basics are taken care of, such as OS and driver updates, personal firewall are active, the antivirus is running and updated, and passwords are set.

امنیت هکرها در کمین سایت‌های خرید و فروش اینترنتی(فیشینگ)

فیشینگ سایت‌های خرید و فروش برای سرقت اطلاعات بانکی مورد استفاده قرار می‌گیرد؛ بنابراین اگر می‌خواهید پرداختی انجام دهید و وارد اینترنت بانک‌تان شوید، حتماً از طریق خود وب‌سایت وارد شوید.

کلاهبرداران با راه‌اندازی سایت‌های جعلی که شبیه به سایت‌های اصلی است، به ربودن اطلاعات افراد، اغلب برای سوءاستفاده‌های مالی اقدام می‌کنند؛ در این شیوه که اصطلاحاً به فیشینگ معروف است، از طریق اطلاعات واردشده توسط کاربران در صفحات جعلی حساب‌های بانکی قربانیان خالی می‌شود؛ بنابراین کاربران هنگام مراجعه به سایت‌ها برای خرید، باید به وجود نماد اعتماد الکترونیکی دقت کنند.

در این باره امیر صفری فروشانی – کارشناس نرم‌افزارهای امنیتی حوزه فناوری اطلاعات-  با بیان این‌که فیشینگ یک تهدید سایبری محسوب می‌شود، گفت: اگر بخواهیم در برابر تهدیدات سایبری ایمن باشیم، باید موارد امنیتی را رعایت کنیم. یکی از موارد امنیتی این است که هوشیار باشیم، هر ایمیلی را باز نکرده و روی هر لینکی کلیک نکنیم، آدرس سایت‌ها را دقیق چک کنیم که همان آدرس مورد نظر باشد، زمانی که یک سایت ما را به مرحله پرداخت هدایت می‌کند، دقت کنیم که مثل همان نوشته شده باشد.

وی ادامه داد: بقیه موارد امنیتی هم این‌طور است که لازم است سیستم عامل و مرورگرمان را همیشه به‌روز کنیم، آنتی‌ویروس اصلی و معتبر داشته باشیم که ویژگی‌های امنیت اینترنتی داشته باشد، از جمله ویژگی حفاظت در برابر وب‌سایت‌ها و لینک‌های آلوده. مرورگرها معمولاً از طرف آنتی‌ویروس افزوده می‌شود و آن‌ها بخش زیادی از فیشینگ را تشخیص می‌دهند. هم‌چنین اگر لینک پرداخت از طریق ایمیل ارسال شد، نباید از طریق آن به اینترنت بانک و ایمیل خود وارد شویم.


آنتی‌ویروس‌ها فیشینگ را هم شناسایی می‌کنند
این کارشناس با بیان این‌که آنتی‌ویروس‌ها، فیشینگ را هم شناسایی می‌کنند، افزود: با وجود این، در ایران سیستم پرداخت متفاوت است، به همین خاطر آنتی‌ویروس‌ها ممکن است خیلی خوب فیشینگ‌های ایرانی را نشناسند. اما اگر می‌خواهید پرداختی انجام دهید و وارد اینترنت بانک‌تان شوید، کلاً از طریق لینک‌هایی که برایتان ایمیل می‌شود و یا اپلیکیشن می‌فرستد، وارد نشوید، بلکه حتماً باید از طریق خود وب‌سایت وارد شوید.

صفری با اشاره به اهداف فیشینگ از جمله سرقت اطلاعات یاهو، جی‌میل و یا سرقت اطلاعات بانکی در صفحه‌های پرداخت، بیان کرد: در سایت‌های خارجی مقداری وضعیت فرق دارد و امنیت کمی بهتر است؛ به جز پی‌پل این‌طور نیست که هنگام پرداخت به سایت بانک بروید و در همان سایت فروشگاهی، فرآیند پرداخت انجام می‌شود. در سایت‌های معتبر هم کاربر چون می‌داند دیتا را در خود سایت می‌زند، مشکلی وجود ندارد. به همین دلیل آنجا سایت‌های یاهو و جی‌میل و آمازون و ای‌بی را فیشینگ می‌کنند و سایتی مشابه این‌ها طراحی می‌کنند که دیتای کاربر را از این سایت‌ها سرقت کنند.

این کارشناس نرم‌افزارهای امنیتی حوزه فناوری اطلاعات خاطرنشان کرد: اگر از نرم‌افزارهای مدیریت پسورد استفاده کنید، وقتی یک بار لاگ‌این می‌کنید، پسوردتان را ذخیره می‌کند و اگر زمانی وارد یک لینک اشتباه شوید، نام کاربری و پسورد را نمی‌آورد و می‌توانید شک کنید که چرا با وجود لاگ‌این کردن با نام کاربری و پسورد، اطلاعات را برایتان نیاورده است و بنابراین ممکن است به هر دلیلی که مورد حمله فیشینگ قرار گرفته باشید و با این احتمال که آدرس سایت تقلبی باشد، اطلاعاتتان را وارد نمی‌کنید.

کشف باگ امنیتی خطرناک در گوگل کروم؛ مرورگر خود را سریعا به‌روزرسانی کنید

مرورگر گوگل کروم اخیرا دچار باگ امنیتی جدیدی شده است و از همین‌رو به کاربران این مرورگر قویا پیشنهاد می‌شود که آن را سریعا به‌روزرسانی کنند.
گوگل کروم (Google Chrome) به‌طور معمول بدون آن‌که شما را خبردار کند، با انتشار به‌روزرسانی‌های جدید، خودش را به‌روز می‌‌کند؛ اما شاید بهتر باشد همین حالا به بخش تنظیمات این مرورگر مراجعه و از به‌روزرسانی‌بودن آن اطمینان حاصل کنید؛ چرا که گوگل اخیرا از بروز نوعی آسیب‌پذیری صفرروزه (Zero-Day) در گوگل کروم خبر داده است.

طبق ادعای گوگل، شمار درخورتوجهی از هکرها هم‌اکنون به‌شکلی فعالانه درحال بهره‌برداری از این آسیب‌پذیری خطرناک هستند. آن‌طور که جاستین شو، از مهندسان بخش امنیت مرور کروم، در یک رشته‌توییت گفته است، این آسیب‌پذیری با آسیب‌پذیری‌های پیشین تفاوت دارد.


این آسیب‌پذیری به‌طور مستقیم کدهای گوگل کروم را هدف قرار داده است
درواقع تفاوت اصلی، به این موضوع بر می‌گردد که باگ جدید کروم برخلاف آسیب‌پذیری‌های پیشینی که به‌طور معمول فلش را هدف قرار می‌دادند، برای رفع‌شدن نیازمند این است که مرورگر را ریستارت کنید.

درواقع شاید همین حالا نیز این به‌روزرسانی را دریافت کرده باشید، اما عملیات نصب آن تا زمان ریستارت کردن مرورگر، انجام نخواهد شد. با این‌اوصاف بهتر است همین حالا از به‌روز‌بودن مرورگر کروم خود مطمئن شوید. جدیدترین نسخه‌ی این مرورگر (یعنی نسخه‌ی ۷۲.۰.۳۶۲۶.۱۲۱) هم‌اکنون قابل‌دریافت است. درضمن، برخلاف باگ‌های پیشین، آسیب‌پذیری فعلی به‌طور مستقیم کدهای کروم را موردهدف قرار داده است.

گوگل همچنین گفته است این باگ همزمان با باگ دیگری که سیستم‌عامل ویندوز مایکروسافت را هدف قرار داده، بروز پیدا کرده است. طبق ادعاهای مطرح‌شده در وبلاگ گوگل، باگ موردبحث احتمالا فقط کاربرانی را تحت‌تأثیر قرار دهد که از ویندوز ۷ معماری ۳۲ بیتی استفاده می‌کنند. اگر هنوز هم جزو کاربران این نسخه‌ از ویندوز هستید، بهتر است سریعا به جدیدترین نسخه یعنی ویندوز ۱۰ مهاجرت کنید. مایکروسافت احتمالا به‌زودی به‌روزرسانی امنیتی جدیدی را برای ویندوز ۷ به‌منظور رفع این باگ، منتشر خواهد کرد

آسیب‌پذیری دوم در ویندوز پیدا شده است
گوگل در وبلاگ رسمی‌اش در توضیحات مربوط‌به این آسیب‌پذیری نوشته است که «ما روز چهارشنبه مورخ ۲۷ فوریه ۲۰۱۹ (۸ اسفند ۱۳۹۷) از بروز دو آسیب‌پذیری صفرروزه خبر دادیم که تا قبل از آن تاریخ، به‌صورت عمومی وجود آن‌ها اعلام نشده بود. یکی از این آسیب‌پذیری‌ها، مرور کروم و دیگری سیستم‌عامل ویندوز را هدف قرار داده بودند. این دو آسیب‌پذیری به‌صورت همزمان توسط مهاجمین مورد بهره‌برداری قرار می‌گرفتند.»

این شرکت در ادامه از انتشار به‌روزرسانی جدید کروم در تاریخ یکم مارس ۲۰۱۹ (۱۰ اسفند ۱۳۹۷) برای رفع باگ مربوط‌به کروم که با نام CVE-2019-5786 شناخته می‌شود، خبر می‌دهد. ظاهرا این باگ ازطریق به‌روزرسانی خودکار کروم، مرتفع شده است. گوگل همچنین می‌گوید به کاربرانش پیشنهاد می‌کند که با مراجعه به بخش تنظیمات مرورگرشان از به‌روز بودن آن به نسخه‌ی ۷۲.۰.۳۶۲۶.۱۲۱ اطمینان حاصل کنند.

ظاهرا این باگ امنیتی، تنها در نسخه‌ی دسکتاپ مرور کروم پیدا شده و به بخشی از این مرورگر با نام FileReader مربوط می‌شود. این بخش از گوگل کروم به نرم‌افزار داخلی وب‌سایت‌ها اجازه می‌دهد که به داده‌های ذخیره‌شده روی کامپیوتر کاربر، دسترسی پیدا کند. فراموش نکنید که گوگل نتوانست سریعا این باگ را پیدا و آن را رفع کند؛ این یعنی احتمالا در بازه‌ی بین بروز این باگ و پیدا شدن آن توسط گوگل، کاربرانی موردهجوم قرار گرفته‌اند.

وب‌سایت دیلی‌میل در گزارش خود به‌نقل از متخصصان حوزه‌ی امنیت می‌گوید که احتمالا این باگ، توانایی ربودن اطلاعات کامپیوترها را از راه دور برای هکرها امکان‌پذیر کرده است.

همان‌طور که بالاتر اشاره کردیم، آسیب‌پذیری دوم به سیستم‌عامل مایکروسافت مربوط می‌شود. گوگل مدعی است که آسیب‌پذیری موردبحث، درواقع نوعی ترفیع امتیازی در درایور کرنل Windows win32k.sys بوده است و به‌احتمال بسیار قوی تنها به نسخه‌ی ۳۲ بیتی ویندوز ۷ مربوط می‌شود.

چگونه گوگل کروم را به‌روزرسانی کنیم؟

به‌روزرسانی کردن مرور کروم کار بسیار ساده‌ای است. ابتدا روی سه‌نقطه‌ی عمودی موجود در بخش بالایی سمت راست مرورگر کلیک کنید و پس از انتخاب گزینه‌ی Settings وارد منوی تنظیمات شوید. در صفحه‌ی بازشده، روی سه‌خط افقی موجود در بخش بالایی سمت چپ مرورگر کلیک کنید. سپس در منوی بازشده، روی About Chrome کلیک کنید. صفحه‌ی جدیدی باز می‌شود که در آن می‌توانید به‌روز بودن مرورگر خود را مشاهده کنید. در صورت دریافت نکردن به‌روزرسانی جدید، مرورگر کروم به‌صورت خودکار به‌روز خواهد شد.

سرور کنترل امنیت دسترسی یا Cisco Secure ACS چیست؟

مانی که تعداد روتر ها و سویچ های ما زیاد باشند امکان اینکه پسورد آنها را با هم اشتباه بگیریم یا فراموش کنیم زیاد است برای رفع این مشکل از نرم افزار ACS که مختص Cisco است، استفاده می کنیم.

این برنامه یک Accounting است که از پرو تکل tacacs استفاده میکند حال ما باید روتر ها و سویچهایی خودمان رو طور ی تنظیم کنیم که برای Login کردن به روتر یا سویچ درخواست را به ACS بفرستد که آن را تایید کند.

برنامه «Cisco Secure ACS » به عنوان یک نقطه مرکزی جهت کنترل دسترسی به شبکه و مدیریت تجهیزات مورد استفاده قرار می گیرد. «Cisco Secure ACS » سناریوهای بسیار زیادی را پیشتیبانی می کند که می توان به سناریوهایی مانند Remote Access ، شبکه های وایرلس و ۸۰۲٫۱ x اشاره کرد. برنامه یاد شده به عنوان یک نرم افزار پیشتیاز در زمینه AAA می باشد و بسیاری از سازمان های بزرگ از این نرم افزار استفاده می کنند. ACS تحت پلتفرم های مختلف ارائه شده است که معروف ترین آنها، نسخه لینوکسی و نسخه ویندوز آن را نام برد.

عملکرد این برنامه به این صورت است که به عنوان یک سرور AAA شناسایی می شود که عملیات Authentication ، Authorization و Accounting را انجام می دهد و به عنوان یک نقطه مرکزی برای کنترل دسترسی به شبکه (NAC) مورد استفاده قرار می گیرد. این نقطه مرکزی برای مدیریت سیاست های دسترسی برای کاربران و همچنین دسترسی به تجهیزات عمل می کند و به طور همزمان می تواند قابلیت های زیر را برای ما فراهم کند :

Device administration : به این وسیله می توانیم مشخص کنیم که چه کسی و در چه سطحی به تنظیمات دستگاه های شبکه دسترسی داشته باشد و عملکرد وی را ثبت کند.

Remote Access : دسترسی های راه دور مانند VPN را با آن کنترل کنیم و سیاست های مورد نظر خود را روی آن اعمال کنیم.

Wireless : به این وسیله میتوانیم کاربران و دستگاه های وایرلس را کنترل و سیاست مورد نظر خود را روی آنها اعمال کنیم.

۸۰۲٫۱x LAN : با استفاده از پروتکل ۸۰۲٫۱x می توانیم دسترسی در لایه دوم را کنترل کنیم.

بهره‌جویی از آسیب‌پذیری WinRAR با هدف انتشار بدافزار

حققان از شناسایی کارزاری هرزنامه‌ای خبر داده‌اند که در جریان آن ایمیل‌هایی با پیوست فایل RAR به کاربران ارسال می‌شود. فایل مذکور مجهز به کد مخربی است که با سوءاستفاده از یک ضعف امنیتی به تازگی کشف شده در نرم‌افزار WinRAR دستگاه را به بدافزار آلوده می‌کند.

هفته گذشته، شرکت چک‌پوینت از ضعفی ۱۹ ساله در کتابخانه UNACEV2.DLL نرم‌افزار WinRAR پرده برداشت که بهره‌جویی از آن امکان کپی فایل در پوشه Startup را در حین باز کردن فایل‌های فشرده ACE فراهم می‌کند. امکانی که عملا مهاجم را قادر به ماندگار کردن فایل مخرب خود بر روی دستگاه قربانی می‌سازد.

از آنجا که توسعه‌دهندگان WinRAR، دیگر به کد منبع کتابخانه UNACEV2.DLL دسترسی ندارند در عوض رفع اشکال باگ، فایل DLL و در نتیجه پشتیبانی ازقالب ACE را در آخرین نسخه این نرم‌افزار (۵٫۷۰) حذف کرده‌اند.

گفته می‌شود که حدود نیم‌میلیارد کاربر در سرتاسر جهان از جمله ایران از نرم‌افزار WinRAR بر روی دستگاه‌های خود استفاده می‌کنند. اما مشخص است که حداقل بخش قابل توجهی از این کاربران نرم‌افزار خود را به آخرین نسخه ارتقا نداده‌اند. موضوعی که از چشم مهاجمان دور نمانده است.

به گزارش شرکت سامانه گستران روز، در کارزار هرزنامه‌ای اخیر، در زمان باز کردن فایل RAR پیوست شده به ایمیل، بدافزاری از نوع درب‌پشتی (Backdoor) بر روی دستگاه قربانی نصب می‌شود.

همانطور که در تصویر زیر نمایش داده شده است در فایل مذکور کد مخربی تزریق شده که وظیفه آن کپی فایلی با نام CMSTray.exe در پوشه Startup است. فایلی که نشان آن نیز برای فریب کاربر به نشان فایل‌های Word تغییر داده شده است.

در صورت غیرفعال بودن بخش UAC یا در صورتی که WinRAR با دسترسی Administrator اجرا شده باشد CMSTray.exe در مسیر زیر کپی می‌شود:

  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CMSTray.exe.
  • این عملیات سبب می‌گردد که در راه‌اندازی بعدی دستگاه، بدافزار به‌صورت خودکار و بدون دخالت کاربر اجرا شود.

     

  • با اجرای CMSTray.exe نیز فایلی مخرب تحت نام wbssrv.exe در مسیر %Temp% کپی می‌شود.
  • wbssrv.exe با برقراری ارتباط با نشانی http[://]138.204.171.108 چندین فایل از جمله ابزار هک Cobalt Strike که امکان دسترسی از راه دور به دستگاه را
  • فراهم می‌کند دریافت می‌کند.
  • به تمامی کاربران توصیه می‌شود که در اولین فرصت نسبت به ارتقای نرم‌افزار WinRAR خود به نسخه ۵٫۷۰ اقدام کنند.

انتشار ابزار رمزگشایی برای قربانیان باج‌افزار PyLocky

PyLocky عنوان خانواده‌ای از باج‌افزارهاست که به زبان Python نوشته شده و نویسندگان آن سعی داشته‌اند تا به قربانی این‌طور القا کنند که دستگاه او بهباج‌افزار مخرب Locky آلوده شده است. مشابه سایر باج‌افزارها، PyLocky نیز تمامی فایل‌ها را رمزگذاری کرده و در ازای آنچه که گردانندگان این باج‌افزار بازگرداندن آنها به حالت اولیه می‌خوانند از قربانی اخاذی می‌شود.

به گزارش شرکت سامانه گستران روز، PyLocky، به فایل‌های رمزگذاری شده پسوند lockedfile را الصاق می‌کند.

تصویر زیر نمونه‌ای از اطلاعیه باج‌گیری این باج‌افزار را نمایش می‌دهد.

اکنون شرکت سیسکو ابزاری را منتشر کرده که امکان رمزگشایی فایل‌های رمز شده توسط PyLocky را به رایگان فراهم می‌کند. ابزار مذکور برای رمزگشایی صحیح فایل‌‌ها نیاز دارد تا ترافیک ارتباطی باج‌افزار با سرور فرماندهی (Command and Control) را بر روی دستگاه آلوده شده مورد رصد قرار دهد. به گفته سیسکو این ارتباطات حاوی اطلاعاتی است که ابزار از آنها در فرایند رمزگشایی بهره می‌گیرد. بنابراین عملکرد صحیح ابزار سیسکو منوط به برقرار بودن ارتباط اینترنتی دستگاه آلوده شده در زمان اجرای این ابزار می‌باشد.

ابزار سیسکو را می‌توان در اینجا دریافت کرد.

لازم به ذکر است که نسخه‌های مختلف باج‌افزار PyLocky با نام‌های زیر قابل شناسایی می‌باشند:

Bitdefender:
– Trojan.GenericKD.31180195
– Trojan.Agent.DCTA
– Trojan.GenericKD.40465869
– Gen:Variant.Ursu.273692

McAfee:
– Python/Ransom.d

Sophos:
– Troj/Ransom-EZT
– Troj/Delf-GVS
– Mal/Generic-S

اشتباه های امنیتی در اکتیو دایرکتوری

۱٫ Group Policy Preferences Visible Passwords
تنظیمات Group Policy به ادمین اجازه می دهد تا هنگامی که یک کاربر عمل Login را انجام می دهد به واسطه Credential های تعیین شده ، حساب های کاربری Local Admin را تنظیم کند ، Task ها را زمانبندی کند و شبکه را راه اندازی کند.
GPPs برای SYSVOL مربوط به Domain Controler ها نوشته شده است. یک هکر می تواند به فایل های GPP xml داخل SYSVOL share دسترسی پیدا کند و Credential های تعیین شده ایی که در GPP قرار دارند را استخراج کند.
تهدیدات احتمالی که ممکن است به دلیل تنظیمات اشتباه در Group Policy ، رخ دهند :
“هکر می تواند دسترسی های مشابه ، دسترسی حساب های کاربری که از GPP استخراج کرده است ، را به دست آورد.”
نکته: حساب های کاربری که برای ایجاد GPPs استفاده می شوند معمولا دسترسی Local Admin را برای هر ماشین دارند.

۲٫ Hidden Security Identifier (SID)
سوء استفاده از SID History یک شی عضو اکتیودایرکتوری ، هکر را قادر می سازد که دسترسی ها را از SID دیگر حساب های کاربری ، با دسترسی بالاتر (یا گروه ها) ، به ارث ببرد( به طوری که برای کابر هیچ ردی از اعضای گروه اضافی برجا نگذارد.)
با استفاده از یک SID می توان نشان داد که هکر در تلاش است تا عضویت گروهی با دسترسی بالا را پنهان کند به عنوان مثال گروهی مثل “Domain Admins” ، و یا در یک اکانت با دسترسی پایین تر یک post-exploitation domain backdoor را پنهان کند.

۳٫ Golden Ticket
اگر یک هکر فایل long-term key را برای حساب “krbtgt” داشته باشد ، او می تواند بدون هیچ دسترسی عمل Log on را شبیه سازی کند . Ticket می تواند شامل یک Username جعلی به همراه عضویت در گروه Domain admin باشد.( یا دیگر عضویت هایی که هکر انتخاب می کند).
هکر می تواند هر دسترسی را برای هر سرویس یا ماشینی در شبکه به دست آورده و آن را در هر جایی استفاده کند. این دسترسی ها می تواند تا زمانی که اکانت “krbtgt” ریست نشده است، برقرار باشند.

۴٫ Domain Replication Backdoor
اگر یک یوزر با سطح دسترسی پایین به دامین ثانویه اضافه شود آنگاه هکر قادر به دستیابی به تمام اطلاعات حساس دامین خواهد شد.- به عنوان مثال دستیابی به اطلاعات Hash شده، مربوط به کاربران، بدون داشتن دسترسی بالا-.به خاطر اینکه برخی از سرویس های دامین به قابلیت های دامین ثانویه نیاز دارند ، دسترسی های ثانویه باید به آبجکت های اکتیودایرکتوری اعمال شوند.
عدم رعایت این نکات منجر به دسترسی کامل هکر به دیتابیس های کاربران دامین می شود

۵٫ Unprivileged Admin Holder ACL
سوء استفاده از AdminSDHoder ACLs – همانند اضافه کردن یک کاربر، که فاقد دسترسی لازم است، به شی امنیتی AdminSDHolder به طوری که دسترسی full controlیا write به آن داده شود به کاربر فاقد دسترسی این قابلیت را می دهد که اکانت خود و یا سایر کاربران را به گروه های مهم همچون گروه Domain Admins بدون هیچ دسترسی بالا اضافه کند.
فعال سازی و ویرایش این ویژگی به هکر اجازه می دهد که دسترسی های ادمین بر روی DC را بدون داشتن هیچ اکانتی در اکتیودایرکتوری، مخفی کند.

۶٫ Power User Enumeration
یوزرهایی که احراز هویت شده اند ، می توانند هر شی در دامین را در بر بگیرند. کاربرانی که رمزهای عبور آنها هرگز expire نمی شوند ،می توانند سرنخی باشند برای تشخیص کاربران با دسترسی بالا در دامین.
این اختیارات به یک هکر اجازه خواهد داد تا دسترسی بالایی برای همیشه در شبکه داشته باشد

۷٫ Silver Ticket
یک یوزر می تواند برای هر سرویسی در دامین تیکت های سرویس را درخواست کند. …
یک یوزر می تواند برای هر سرویسی در دامین تیکت های سرویس را درخواست کند. هنگامی تیکت سرویس به وسیله long-term key مربوط به اکانت رمزنگاری می شود ، هکر می تواند تیکت های سرویس را جمع آوری کند و حملات بی قاعده ای بر روی Long-term key انجام دهد.این Attack ها به هکر اجازه می دهد که دسترسی کامل به ماشین ها در حال اجرا داشته باشد.

۸٫ Anonymous LDAP Allowed
دیوایس های مدیریت نشده می توانند از اکتیودایرکتوری پرس و جو کنند و اطلاعات دامین را بدون احراز هویت جمع آوری کنند
هکرها می توانند از یک کاربر یا کامپیوتری که احراز هویت نشده و همچنین از طریق یک اتصال شبکه ، ساختار کامل دایرکتوری و دسترسی ها را ببینند

۹٫ DSRM Login Enabled
DSRM یک حالت بوت مخصوص است وهنگامی که سرویس های دایرکتوری Down می شوند برای بازسازی و ریکاوری اکتیودایرکتوری مورد استفاده قرار می گیرد. فعال سازی و ویرایش این ویژگی به هکر اجازه می دهد که دسترسی های ادمین را به وسیله یک backdoor روی DC ، بدون هیچ اکانتی از دامین ، پنهان کند و در نتیجه هکر کنترل و دسترسی کامل به اجزای Domain Control را داشته باشد.

۱۰٫ Local Admin Traversal
از آنجا که بیشتر شرکت ها از imaging software استفاده می کنند،رمز عبور Local Admin اغلب در همه شرکت ها یکسان است . یک هکر با سرقت گواهی های Local Admin از کامپیوتر های محلی در شبکه ، می تواند long-term key مربوط به Local Admin را جهت احراز هویت خود به یک ماشین دیگر بفرستد.
هنگامی که یک هکر به گواهی های مربوط به Local Admin روی یکی از ماشین ها دسترسی پیدا می کند ، او می تواند با استفاده از این پسورد به تمام ماشین های در شبکه دسترسی پیدا کند.

 

 

 

چگونه با حملات دیداس (DDOS) مقابله کنیم؟

​​​​​​​اثر حملات دیداس، ارسال ترافیک کاذب بسیاری به سرور و از کار انداختن آن است؛ اتفاقی که اخیراً برای برخی از کسب‌وکارهای ایرانی رخ داده و بهترین راه جلوگیری از آن، استفاده از سرویس‌های امنیتی و به‌روز نگه داشتن آن‌هاست.


بارها اتفاق افتاده که برخی از وب‌سایت‌ها بر اثر حملات منع سرویس توزیع‌شده (DDOS) از دسترس خارج شوند. حملات دیداس به نحوی رخ می‌دهد که فرد مهاجم که قصد حمله به سرویسی را دارد، ترافیک بسیاری را که عمدتاً حاوی تقاضای کاذب است، روی یک سایت یا سرور می‌فرستد و باعث می‌شود آن سرویس‌دهنده دیگر نتواند جواب دهد و از کار بیفتد و یا از دسترس خارج شود.

 امیر صفری فروشانی – کارشناس نرم‌افزارهای امنیتی حوزه فناوری اطلاعات – با بیان این‌که انجام حملات دیداس کار سختی نیست، به ایسنا گفت: هر آلودگی می‌تواند باعث حملات دیداس شود. حملات APT یا تهدید پیشرفته مستمر (Advanced persistent threat) که راهی برای به‌دست آوردن اطلاعات افراد است، یا حملاتی که از طرف بات‌نت‌ها اتفاق افتاده و موجب آلوده شدن شبکه می‌شوند و می‌تواند برای ایجاد حملات دیداس نیز استفاده شوند.

وی در پاسخ به این‌که آیا نصب برخی اپلیکیشن‌ها و دسترسی‌های آن‌ها به تجهیزات کاربران، می‌تواند به آلودگی منجر شود، گفت: این هم می‌تواند یکی از دلایل باشد؛ اما خود کاربر باید خیلی موارد را رعایت کند، این‌که هر اپلیکیشنی را نصب نکند و آنتی‌ویروس معتبر داشته باشد. اما کسب‌وکارها هم باید سرویس‌های امنیتی خود را داشته باشند، از جمله سرویس‌های آنتی‌دیداس که دچار مشکل خاص نشوند.

خطری که نسخه‌های غیررسمی دارند
این کارشناس نرم‌افزارهای امنیتی هم‌چنین اظهار کرد: اکثر کاربران نسخه‌های غیررسمی و غیراصل تلگرام را استفاده می‌کنند که امنیت پایین‌تری دارند و کسی که نرم‌افزار را نوشته، دستش باز است و می‌تواند هر پیام یا فایلی را از سمت کاربر بفرستد و یا اقدامات دیگری انجام دهد. بنابراین برخی از حملاتی که به کاربران می‌شود، به این خاطر است که با هدف استفاده از تلگرام ضدفیلتر، نسخه‌هایی مانند تلگرام ایکس فیک را نصب می‌کنند که این بلا هم سرشان می‌آید.

صفری با اشاره به لزوم جدی دانستن امنیت دستگاه‌ها توسط کاربران توضیح داد: متأسفانه بخش زیادی از کاربران درباره تأمین امنیت خود در فضای مجازی دچار سهل‌انگاری هستند و از طرفی بلد نیستند چگونه دستگاه‌های خود را ایمن کنند و بسیاری هم اطلاعات و باورهای نادرستی درباره مسائل امنیت سایبری دارند. البته در حال حاضر افراد بسیار کمی هستند که آنتی‌ویروس استفاده نکنند، اما بخش زیادی از کسانی که استفاده می‌کنند یا از نسخه‌های فیک استفاده می‌کنند، یا از محصولات رایگان که حفاظت درست ندارد و این یک معضل جدی است.

وی ادامه داد: هم‌چنین بسیاری از افراد آنتی‌ویروس، سیستم عامل و یا اپلیکیشن‌هایشان را آپدیت نمی‌کنند. مثلاً شنیدند که اگر ویندوز را آپدیت کنی، دستگاه سنگین می‌شود. درواقع یک سری باورهای اشتباه وجود دارد و برخی از این باورها هم توسط کسانی است که تعمیرکار کامپیوتر و یا نصاب اینترنت هستند و اصطلاح متخصص را به دوش می‌کشند، اما نظریات اشتباه می‌دهند. این افراد آنتی‌ویروس فیک نصب می‌کنند که خودشان به نوعی ویروس و تهدید سایبری محسوب می‌شود، زیرا برایشان سود دارد و به کاربر هم می‌گویند ویندوزش را آپدیت نکند، چون سنگین می‌شود.

تشخیص نفوذ در شبکه‌های کامپیوتری (تحقیقاتی) | قسمت سوم (ماشین بردار پشتیبان)

ماشین بردار پشتیبان :

ماشین بردار پشتیبان یک متد برمبنای یادگیری ماشین است که اساس آن یادگیری با کمک اطلاعات است که داده ها را با کمک بردارهای پشتیبان که الگوهای داده ای را بیان می کنند کلاس بندی می کند[۱۳].
برای دسته بندی کردن داده ها به ۲ دسته باید تابع (f(X ای پیدا کنیم به طوری که Yi= f(Xi) که برای N داده به صورت (X1 , Y1) …. (Xi,yi) …….. (Xn,Yn) تابع f را بتوان به این صورت تعریف کرد :

که در آن l تعداد رکوردهایی هستند که برای آموزش استفاده می شوند. {Yi ϵ {-۱,۱ و ai عددی مثبت و کوچکتر از عدد ثابت C است و Xi نیز بردار پشتیبان است.اما اگر تابعی که برای دسته بندی استفاده می شود خطی نشود ، باید داده ها را به ابعادی بالاتر ببریم تا تابع جدا کننده ی آن ها تابعی خطی بشود. برای این کار تبدیل به صورت زیر در می آید :

که در آن (k(Xi,X تابع هسته نامیده می شود که همان تابعی است که برای بردن داده ها به بعد بالاتر از آن استفاده می شود.

 

مدل ارتقاء یافته ماشین بردار پشتیبان [۱۳]:

تابع هسته که در قسمت قبل معرفی شد می تواند انواع مختلفی داشته باشد و به دسته های مختلفی تقسیم شود که به علت پیچیدگی ریاضی بالا بیان آن ها مشکل است. بیشتر انواع توابع هسته به صورت خطی هستند و تفاوتی میان خصوصیت های مختلف داده ها قائل نمی شوند. مثلا تابعی که در قسمت قبل بیان شد نیز یک تابع خطی است که همین خصوصیت را دارد که در آن با همه خصوصیات داده ها به طور یکسان رفتار می شود. این یکسان بودن رفتار کارایی را پایین آورده و بر روی دقت ماشین بردار پشتیبان اثر منفی می گذارد. راه حلی که برای این کار به نظر می رسد این است که برای تابع هسته وزن در نظر بگیریم. این وزن ها برای تعیین اثر خصوصیت ها به کار می روند. حالت کلی تابع جدیدی که برای این کار در نظر می گیریم به صورت (k(WXi,X است ، که در آن W برداری است که شامل وزن خصوصیت ها می باشد.
به این ترتیب تابع کلی به صورت زیر در می آید :

حالا نتیجه ی آزمایش انجام شده روی ماشین بردار پشتیبان معمولی و ارتقاء یافته را نشان می دهیم [۱۳] :

در این آزمایش نیز مثل آزمایش های قبل و بعد از مجموعه داده های KDD استفاده شده است. که به علت وجود توضیحات در سایر آزمایش ها از توضیح آن خودداری می کنیم. در این آزمایش از ۱۰ درصد این داده ها استفاده شده که ۱٫۵ درصد آن ها مربوط به نفوذ ها و بقیه مربوط به داده های معمولی و غیر نفوذ است. برای این آزمایش یک مجموعه داده آموزشی به همراه ۳ مجموعه برای تست که همگی زیر مجموعه ی مجموعه داده های اصلی هستند در نظر گرفته شده است.
مفاهیمی که در جدول از آن ها استفاده شده در آزمایش قبلی (درخت تصمیم) شرح داده شده است. نتایج به صورت زیر است :

همان طور که در نتایج مشاهده می شود استفاده از ماشین بردار پشتیبان ارتقا یافته بیشتر از ۸۰ درصد زمان بررسی داده ها را کاهش داده است! علاوه بر آن دقت تشخیص را نیز تا مقدار قابل توجهی بالا برده است. که از نظر تئوری هم همان طور که بیان شد این نتیجه کاملا قابل پیش بینی بود. چرا که در نظر گرفتن اهمیت و وزن خصوصیات داده ها یک مزیت بسیار اثرگذار است که در مقابل رفتار یکسان با همه خصوصیت ها قرار می گیرد.

مقایسه ی نتایج حاصل از دو روش درخت تصمیم و ماشین بردار پشتیبان بر روی داده های یکسان :

در این آزمایش از مجموعه داده های KDD99 استفاده شده است که داده های خام و مخرب TCP در طول ۹ هفته می باشد. مجموعه ی داده ها به ۲۴ نوع حمله (نفوذ) تقسیم بندی می شوند که این حمله ها نیز خود به ۴ دسته اصلی تقسیم می شوند [۱۲].

۱- حملات Dos : در این حمله ها با ایجاد درخواست بیش از و به کارگرفته شدن بیش از حد منابع حافظه ای باعث اختلال در سیستم می شوند.

۲-حملات Remote to User: در این نوع حملات نفوذگر در ماشین هدف اکانتی ندارد ، بنابراین با فرستادن پکت هایی در شبکه و با استفاده از آسیب پذیری ها به عنوان کاربر آن سیستم وارد می شود!

۳-حملات User to Root : در این نوع حمله نفوذگر به یک اکانت معمولی دسترسی پیدا می کند و سپس با استفاده از نقاط آسیب پذیر به عنوان ریشه یا همان root دسترسی پیدا کرده و سیستم را در دست می گیرد.

۴-حملات Probing: در این نوع نفوذ ، نفوذگر با بررسی مداوم شبکه به نقاط آسیب پذیر یک سیستم پی می برد و با استفاده از آن ها به سیستم آسیب می زند.

یکی از نکات مهم انتخاب خصوصیت هایی است که می خواهیم آن ها را مورد بررسی قرار دهیم. این خصوصیات انواع مختلفی دارند. مثلا خصوصیت هایی که ارتباط هایی را بررسی می کنند که در ۲ ثانیه گذشته دارای مقصد مشترکی بوده اند. یا ارتباط هایی که در ۲ ثانیه گذشته سرویس مشترکی را داشته اند. بعضی دیگر نیز به دنبال خصوصیات رفتاری خاصی می گردند. مانند تعداد تلاش ناموفق برای ورود سیستم در یک زمان محدود.

اما برای تست یک روش تشخیص نفوذ مجموعه ی داده ای ۲ قسمت می شود. تعدادی از آن ها که به صورت اتفاقی نیز انتخاب می شوند برای آموزش آن سیستم استفاده شده و بقیه برای تست استفاده می شوند. مثلا در آزمایش فعلی از حدود ۱۱۹۸۲ رکورد ۵۰۹۲ رکورد برای آموزش و ۶۸۹۰ رکورد برای تست استفاده می شوند.

هدف اصلی از این سیستم تشخیص نفوذ این است که تمامی این داده ها به ۴ کلاس حمله که در بالا در مورد ۴ نوع آن توضیح داده شد و یک کلاس معمولی که همان موارد بی خطر یا معمولی است تقسیم بندی شوند. در واقع ما ۵ کلاس داریم که داده ها باید در یکی از این کلاس ها قرار گیرند.

روند کلی کار شامل ۲ مرحله است که در ابتدا داده هایی برای آموزش سیستم به صورت تصادفی انتخاب می شوند که تعداد آن ها را در بالا ذکر کردیم. پس از این که سیستم آموزش لازم را دید باید به وسیله ی سایر داده ها آزموده شده و دقت آن در کلاس بندی داده های باقیمانده مورد ارزیابی قرار گیرد.

نتایج مربوط به درخت تصمیم :

به صورت کلی هر کلاس بندی کننده (در این جا درخت تصمیم یا ماشین بردار پشتیبان) با داده های آموزشی ایجاد خواهد شد و هر داده به ترتیب با هر کدام از کلاس ها بررسی خواهد شد. هر کلاسی داده را به یکی از دسته های عادی یا حمله می دهد. طبیعی است که اگر کلاسی یک داده را در حالت معمولی قرار داد یعنی این که آن داده حداقل حمله ای از نوع آن کلاس نیست!
نتایج به دست آمده برای درخت تصمیم به این صورت است [۱۲]:

نتایج مربوط به ماشین بردار پشتیبان [۱۲]
برای ماشین بردار پشتیبان هم موارد ذکر شده در بخش بالا (درخت تصمیم) برقرار است. نتایج به دست آمده به این صورت است :

در این ماشین بردار پشتیبان از تابع هسته ی درجه ای استفاده شده است (که در قسمت ماشین بردار پشتیبان توضیح آن ارائه شد) که چون در هر مورد می توان درجه های مختلف را بررسی کرده و نتایج مختلف گرفت نتایج به دست آمده از درجه های مختلف را این گونه نشان می دهیم [۱۲]:

مقایسه بین نتایج درخت تصمیم و ماشین بردار پشتیبان :

درخت تصمیم در ۳ مورد Probe , R2L , U2R دارای دقت بهتری بود در حالی که در مورد حملات DOS ماشین بردار پشتیبان دقت بهتری داشت. در مورد داده های Normal دقت مشابه بود. نکته مهمی که از نتایج به دست می آید این است که فاصله ی دقت این دو روش در ۲ کلاس U2R , R2L زیاد است و درخت تصمیم با فاصله ی زیادی عملکرد بهتری دارد. همان طور که می دانیم این دو روش ذکر شده دارای آموزش کمتری نسبت به سایرین هستند بنابراین می توان نتیجه گرفت که درخت تصمیم با مجموعه داده های آموزشی کوچکتر نتایج خیلی بهتری ارائه می دهد.نمودار زیر هم کارایی درخت تصمیم و ماشین بردار پشتیبان را در مورد کلاس R2L نشان می دهد که واضح است که کارایی درخت تصمیم تا چه حد بهتر از ماشین بردار پشتیبان بوده است. در این نمودار از ۳۰ نقطه داده ای برای نشان دادن کارایی ها استفاده شده است.

 مقایسه بین نتایج درخت تصمیم و ماشین بردار پشتیبان

قسمت اول 

قسمت دوم

ادامه مقاله در روزهای آتی

تشخیص نفوذ در شبکه‌های کامپیوتری (تحقیقاتی) | قسمت دوم

ماشین های بردار پشتیبان

ماشین های بردار پشتیبان خصیصه های ورودی با مقادیر حقیقی را با نگاشت غیرخطی به فضایی با ابعاد بالاتر می برد و با قرار دادن یک مرز خطی، داده ها را جدا می کند. پیدا کردن یک مرز تفکیک برای جدا سازی داده ها به مسئله بهینه سازی درجه دوم تبدیل می شود و از مرز خطی برای تقسیم بندی استفاده می شود. اما همه مسائل به از ویژگی به نام توابع پایه SVM صورت خطی قابل تفکیک نیستند و برای حل این مشکل استفاده می کند. این توابع الگوریتم های خطی را به غیرخطی تبدیل می کند و با بردن داده ها به فضایی با ابعاد بالاتر، تفکیک خطی را در آن فضا ممکن می سازند [۷].
این الگوریتم شامل مراحلی با عملیات های ریاضی است لذا با توضیحات ارائه شده شاید کمی گنگ به نظر بیاید. اما نگران نباشید در بخش آزمایش ها به جزئیات پیاده سازی و انجام مرحله به مرحله آن خواهیم پرداخت و عملیات آن را به صورت کامل و با مثال توضیح خواهیم داد.

 

درخت تصمیم

“درخت تصمیم یکی از روش های دسته بندی در حوزه داده کاوی است. در این بخش الگوریتمی ارائه می شود که با ساختن یک درخت تصمیم روی مجموعه ای از الگوها یا امضاهای شناخته شده از حملات، تعداد مقایسه های لازم برای شناسایی یک فعالیت مخرب را به نحو چشمگیری کاهش دهد [۷] اگر ما یک الگوی نفوذ را در پایگاه داده های خود ذخیره کرده باشیم ، مجموعه خصوصیات این الگو می تواند معیاری برای بررسی سایر فعالیت ها باشد. حالا اگر داده های ورودی را بررسی کنیم و آن را با قانون های موجود و خصوصیات که در پایگاه داده موجود است مقایسه کنیم و این داده های ورودی با تمام آن خصوصیات مطابقت داشته باشند داده ورودی با الگوی متناظر با قانون منطبق است. مجموعه این خصوصیات گره ریشه درخت را تشکیل می دهند. حال اگر یک ویژگی را انتخاب کرده و مقدار آن را در قانونی تعیین کنیم می توان زیر مجموعه های مختلفی از قوانین تشکیل داد که گره های دیگر درخت را تشکیل می دهند.
مسئله اصلی در ساخت درخت تصمیم، انتخاب ویژگی یا صفتی است که به نحو مناسب داده ها را در کلاسهای مربوطه دسته بندی نماید. هر درخت تصمیم شامل نود، یال و برگ است. نودهای درخت معادل صفاتی است عملیات دسته بندی داده را بر اساس مقادیر آن صفات انجام می دهیم. یال ها با مقادیری که هر صفت برای یک زیرمجموعه خاص از داده ها دارد برچسب می خورد و برگ ها معادل.کلاسی است که بخشی از داده ها در آن قرار می گیرند [۷] .
درختهای تصمیم روشی برای نمایش یک سری از قوانین هستند که منتهی به یک رده یا مقدار میشوند.درختهای تصمیمی که برای پیش بینی متغیرهای دسته ای استفاده میشوند، درختهای classification نامیده میشوند زیرا نمونه ها را در دسته ها یا رده ها قرار میدهند. درختهای تصمیمی که برای پیش بینی متغیرهای یپیوسته استفاده میشوند درختهای regression نامیده میشوند[۸] .

از دیگر مزایای درخت تصمیم عبارتند از [۹] :

· درخت تصمیم از نواحی تصمیم گیری ساده استفاده میکند.

· مقایسه های غیر ضروری در این ساختار حذف میشوند.

· آمادهسازی دادهها برای یک درخت تصمیم ساده یا غیر ضروری است.

·  درختهای تصمیم قادر به شناسایی تفاوتهای زیرگروه ها میباشد.

با توجه به این که روش های معمول موجود برای تشخیص نفوذ در فاز قبل توضیح داده شد ، در این فاز و فاز بعد می خواهیم پرکاربردترین و بهترین این روش ها را با جزئیات بیشتری توضیح داده و تا حد ممکن با یکدیگر مقایسه کنیم.
در فاز ۲ درخت تصمیم و ماشین بردار پشتیبان را ابتدا هر کدام به صورت انفرادی و همراه با نتایج بررسی کرده ،سپس با ارائه نتایج چند آزمایش انجام شده نتایج استفاده از این ۲ را در سیستم های تشخیص نفوذ مقایسه می کنیم و در نهایت کارهای مرتبطی که در آن ها از این ۲ به صورت ترکیبی استفاده شده را بررسی می کنیم. ضمن این که در این فاز به مفهوم کاهش ویژگی که در تشخیص نفوذ بسیار اهمیت دارد نیز می پردازیم.
در فاز ۳ (اگر عمری بود و باز هم به لطف دوستان نمره صفر نگرفتیم!!) به بررسی شبکه عصبی ، الگوریتم ژنتیک و روش بیز و مقایسه ی کلی این چند روش با هم می پردازیم. امیدوارم در پایان این ۳ فاز و با بررسی روش های ذکر شده که تقریبا شامل تمامی روش های کاربردی و معروف تشخیص نفوذ می شوند تا حد خوبی بررسی شده باشند.

نکته ی دیگر این که تقریبا سعی شد تمام رابطه و فرمول هایی که در مقاله ها گفته شده در این متن آورده شود اما تعداد بسیار کمی آورده نشده که به ۲ دلیل بوده است. اول این که احساس می شد این روابط ربطی به موضوعات الگوریتمی و موضوع کلی بحث ندارد و صرفا محاسباتی برای پیدا کردن مقدار برخی متغیرهاست و دوم این که خود بنده (نویسنده) با وجود تلاش زیاد نتوانستم آن را به طور کامل درک کنم و طبیعتا از استفاده ی این فرمول ها که تعدادشان بسیار کم (در حد ۳ یا ۴) بود در متن این پروژه خودداری کردم.

درخت تصمیم:

درخت تصمیم به عنوان یک “مدل پیش بینی کننده بر اساس یادگیری ماشین و آمارها به منظور ایجاد یک ساختار درختی برای مدل کردن الگوهای داده ای” معرفی می شود. در واقع درخت های تصمیم مثال بارزی از الگوریتم کلاس بندی داده ها هستند. کلاس بندی روشی است که در آن هر کدام از داده ها به یکی از الگوهای تعیین شده نسبت داده می شوند[۱۰].
مثلا درخت تصمیم در حوزه ی تشخیص نفوذ می تواند داده های شبکه را به کلاس های مخرب ، و یا هر مدل دلخواه دیگری تقسیم بندی کند.
در واقع الگوریتم کلاس بندی مقدمه ای برای ساخت درخت است، به این ترتیب که با پیدا کردن الگوهای خاص در مجموعه ی داده ها درخت ها را ایجاد می کند. در شکل زیر مثالی از کلاس بندی و ایجاد یک خروجی به صورت درخت مشاهده می شود.

 کلاس بندی و ایجاد یک خروجی به صورت درخت

 

آن چه که در شکل به عنوان ورودی مشاهده می کنید مشخصات داده ها هستند که این مشخصات عامل دسته بندی داده ها می باشند. مشخصات داده ها می توانند گسسته یا پیوسته باشند و برای نگهداری آن ها می توان مانند تصویر بالا از جداول و یا پایگاه داده ها و یا هر گونه فایل قابل قسمت بندی استفاده کرد.

به طور کلی ساختن یک درخت کاملا بهینه نشدنی است چرا که با افزایش خصوصیاتی در داده ها که برای ما مهم باشند تعداد حالات تولید درخت ها به صورت نمایی افزایش پیدا می کند. به همین خاطر انواع مختلفی از درخت ها وجود دارد که در جدول زیر ۳ کلاس بندی کننده مختلف از درخت های تصمیم را با خصوصیات آن ها مشاهده می کنید

درخت تصمیم

 

کته ای که در مورد مقایسه ی این درخت ها وجود دارد این است که نمی توان به طور مطلق یکی را برتر از دیگران دانست. در واقع در شرایط مختلف و در مورد مجموعه ی داده های مختلف درخت های متفاوتی می توانند بهترین نتایج را ارائه دهند.
کلاس بندی های که درخت های تصمیم انجام می دهند می توانند یک گروه را برای این که کدام الگوها را نگه داری کنند ، کدام روش های دیوار آتش را پیاده سازی کنند و یا کدام فعالیت ها را در شبکه برای آنالیز کردن نشانه گذاری کنند کمک می کنند اما مانند دیوار آتش یا سیستم های جلوگیری از نفوذ (IPS) نمی توانند به تنهایی نمی توانند عملیاتی برای مقابله با نفوذ انجام دهند.

حالا می خواهیم اجزای درخت های تصمیم را با جزئیات بیشتری بررسی کنیم :

یک درخت تصمیم از ۳ بخش اصلی تشکیل شده است :

۱- گره تصمیم ۱ که نمایانگر یک صفت یا خصوصیت قابل تست است.

۲- یال که بیانگر مقدار یک صفت یا به طور واضح تر خروجی تست آن صفت است.

۳- برگ که همان گره پاسخ نامیده شده و بیانگر کلاسی است که شیء به آن تعلق دارد.

الگوریتم های مختلفی برای تولید درخت تصمیم معرفی شدند که در جدول بالا ۳ نمونه به طور اختصاری بررسی شدند. اما برای انتخاب روش مناسب برای ساخت یک درخت تصمیم پارامترهای مختلفی وجود دارد :

۱- معیار انتخاب صفت مناسب :
همان طور که گفته شد گره تصمیم بیانگر یک صفت است. این که کدام صفت را برای قرار گرفتن در گره ریشه ی درخت یا زیر درخت قرار دهیم نیاز به تعیین یک معیار مناسب برای مشخص شدن توان هر گره برای انتخاب شدن دارد.
معیارهای مختلفی برای این کار وجود دارد که ما به توضیح آن چه برای درخت C4.5 تعیین شده است می پردازیم. این معیار gain ratio نام دارد. ورودی های این تابع یک صفت به نام A و یک مجموعه از اشیاء با نام T است. این تابع به این صورت تعریف می شود :

معیار انتخاب صفت مناسب

که در آن Ci تعداد اشیاء موجود در T است که به Ci تعلق دارد. و

تعداد اشیاء موجود در T

زیر مجموعه ای از اشیاء است که در آن مشخصه ی Ak دارای مقدار ak است. و سپس مقدار مشخصات مشخصه ی Ak از رابطه ی زیر به دست می آید :

مقدار مشخصات مشخصه ی Ak

و در نهایت Gain Ratio با این رابطه و با درجه بندی شدن توسط رابطه ی بالا این گونه نوشته می شود :

همین مورد در درخت ID3 این گونه بیان می شود :
اغلب الگوریتم های یادگیری درخت تصمیم بر پایه یک عمل جستجوی حریصانه بالا به پائین در فضای درختهای موجود عمل میکنند. در درخت تصمیم (ID3) از یک مقدار آماری به نام بهره اطلاعات Information Gain استفاده می شود تا اینکه مشخص کنیم که یک ویژگی تا چه مقدار قادر است مثالهای آموزشی را بر حسب دسته بندی آنها جدا کند [۹]. آنتروپی: [۹] میزان خلوص (بی نظمی یا عدم خالص بودن) مجموعه ای از مثالها را مشخص می کند. اگر مجموعه S شامل مثالهای مثبت و منفی از یک مفهوم هدف باشد آنتروپی S نسبت به این دسته بندی بولی بصورت زیر تعریف می شود :

بهره اطلاعات [۹] (Information Gain) بهره اطلاعات یک ویژگی عبارت است از مقدار کاهش آنتروپی که بواسطه جداسازی مثالها از طریق این ویژگی حاصل میشود. بعبارت دیگر بهره اطلاعات (Gain(S,A برای یک ویژگی نظیر A نسبت به مجموعه مثالهای S بصورت زیر تعریف میشود:

که در آن (Values A) مجموعه همه مقدار ویژگی های A بوده و VS زیرمجموعه ای از S است که برای آن A دارای مقدار V است. در تعریف فوق عبارت اول مقدار آنتروپی داده ها و عبارت دوم مقدار آنتروپی مورد انتظار بعد از جداسازی داده هاست

۲- استراتژی تقسیم بندی :
روشی که در آن اعضای مجموعه ای که در مورد ۱ ذکر شد را به کلاس صفت مناسب نسبت دهد.

۳- محدوده ی توقف :
این مورد تعیین کننده ی شرایطی است که با به وجود آمدن آن ادامه ی گسترش یک زیر درخت (و یا کل درخت) متوقف شود و در واقع زمان توقف ادامه ی تقسیم بندی مجموعه را بیان می کند. در واقع عملیات مقدار دهی به گره ها و یال ها در یک زیر درخت آنقدر ادامه پیدا می کنید تا همه ی داده ها در آن زیر درخت به یک کلاس تعلق پیدا کنند.

برای اضافه کردن اطلاعات به درخت تصمیم هر داده از ریشه شروع کرده و به گره ها می رود. در هر گره بررسی می شود که این داده به کدام کلاس مربوط است. این عمل آنقدر تکرار می شود تا به یک گره برگ برسیم. در آنجا برگی که این داده به آن تعلق پیدا کند محلی است که باید به آن جا اضافه شود.

ارتباط درخت تصمیم با سیستم های تشخیص نفوذ :
به طور خلاصه اگر بخواهیم فواید درخت تصمیم را برای سیستم های تشخیص نفوذ توضیح دهیم می توانیم فرآیندهای زیر را که به این سیستم ها کمک می کنند نام ببریم [۱۰]:

  • استفاده به همراه روش ظرف عسل (Honey pot) که در آن یادگیری روش و تکنیک های نفوذ گران انجام شده و در شناسایی فعالیت های مخرب در شبکه کمک می کند.

به طور خلاصه تکنیک ذکر شده به این صورت است که به راحتی اجازه ی نفوذ را به نفوذگر می دهد و وی با فرض راحت بودن این کار ردپایی از خود به جا می گذارد که پیدا کردن این ردپا دقیقا همان هدف این تکنیک است.

  • کمک در تست های نفوذ با یاد گرفتن روش ها از تست کننده ها و پیدا کردن روش هایی برای شناخت روش های تست تست کننده ها.
  • شناخت و برجسته کردن ترافیک مخرب و مشکوک در شبکه
  • اولویت بندی کردن هشدارها با مشخص کردن هشدارهای با ارزش و اولویت کمتر.
  • نشانه گذاری روش های نفوذی که مکررا از آن ها استفاده می شود
  • شناسایی رفتارهای غیر عادی در شبکه که در فاز ۱ در مورد آن ها توضیحات و مثال هایی ارائه شد
  • پشتیبانی و کمک به افزایش اطلاعات سیستم تشخیص نفوذ با پیدا کردن روش های تشخیص فعالیت های مخرب

پس از این که درخت تصمیم ساخته شد ، می تواند حجم داده های موجود را کاهش دهد. در واقع داده هایی که به عنوان مخرب شناسایی نشده اند می توانند به خاطر بی خطر بودنشان حذف شوند. این کم کردن حجم اطلاعات یک کارایی بسیار مهم برای درخت تصمیم است.

در واقع کاری که یک درخت تصمیم در یک سیستم امنیتی انجام می دهد مشابه نشانه ی هدف گیری در یک اسلحه است که هدف را به تیرانداز نشان می دهد و سایر اجزا مانند خود سیستم تشخیص و جلوگیری نفوذ و دیوار آتش مانند اجزای شلیک تفنگ عمل می کنند.
هنگامی که روش یک نفوذ پیچیده شده و تعداد متغیرها و خصوصیت ها افزایش پیدا می کند روش های سیستماتیک مثل درخت تصمیم می تواند از این پیچیدگی کاسته و عملیات مخرب را شناسایی کند. یکی از مزیت های مهم درخت تصمیم نسبت به سایر روش ها ایجاد قوانینی کاملا شفاف ، قابل فهم و ساده برای پیاده سازی در سیستم های دارای محدودیت زمانی مثل تشخیص نفوذ و یا دیوار آتش است.

یکی دیگر از بزرگترین قابلیت های درخت تصمیم این است که تشخیص می دهد که روش های برخی از حملات زیرمجموعه ای از روش های دیگری است که در آموزش های قبلی فراگرفته است و این در تشخیص روش بسیاری از نفوذها مناسب است[۱۲].

پیاده سازی درخت تصمیم برای تشخیص نفوذ :

نخستین کاری که باید انجام شود این است که داده ها و ابزارهای موجود که دریافت می کنیم باید پیش پردازش شوند. این پیش پردازش باید داده ها را به فرمی در آورد که درخت تصمیم بتواند از آن ها استفاده کند. در واقع داده های خام و پردازش نشده نمی تواند به عنوان ورودی درخت تصمیم مورد استفاده قرار گیرد!
نتیجه پردازش داده ها برای مرحله بعد که تعیین مجموعه قوانین است بسیار مهم است. در مرحله ی بعد آنالیز روی این داده ها انجام شده و از نتیجه ای آن برای تعیین قوانین تصمیم گیری استفاده می شود. شکل زیر مراحل کار درخت تصمیم را نشان می دهد [۱۰]:

گرد آوری داده ها :

گرد آوری داده ها یکی از زمان بر ترین و مهم ترین کارها برای استفاده از یک روش مانند درخت تصمیم است. روشی که برای گردآوری داده ها انتخاب می شود باید به عملیاتی که تیم تشخیص نفوذ از درخت تصمیم انتظار دارند مربوط باشد. به عنوان مثال اگر درخت تصمیمی قرار است داده های مخرب را از بی خطر تشخیص دهد باید دو مجموعه داده که یکی شامل داده های نمونه ی مخرب و دیگری شامل داده های نمونه ی بی خطر است در اختیار داشته باشد. پیدا کردن و تقسیم بندی چنین داده هایی می تواند بزرگترین دغدغه برای پیاده سازی این تکنیک باشد.
برای جمع آوری داده ها نیز می توان از روش های زیر استفاده کرد [۱۰]:

  • ظرف های عسل که توضیحاتی در مورد آن ها داده شد منبع بسیار خوبی برای جمع آوری داده ها هستند چرا که آن ها با فراهم کردن امکان نفوذ برای نفوذگر باعث به جا ماندن ردپا از او و اطلاعاتش خواهند شد و این اطلاعات و داده ها قطعا برای سیستم ما مفید است.
  • فایل هایی که در آن ها اطلاعات و داده های نفوذ های قبلی ذخیره شده اند نیز منابع بسیار مناسبی هستند.
  • اطلاعاتی که از تست های نفوذ به دست می آید قابل استفاده است. در واقع روش هایی که تست کننده ها برای نفوذ به سیستم استفاده می کنند تا بتوانند قابلیت آن را آزمایش کنند نیز همراه با داده هایی است که می توانیم در سیستم خود از آن ها استفاده کنیم.
  • و در نهایت داده های موجود در سایت ها مانند www.openpacket.org که می توانند داده های مخرب که قبلا آزمایش شده اند را در اختیار شخص قرار دهند.

اکنون به بررسی نتایج آزمایش روی یکی از انواع درخت که j48 است می پردازیم [۸] .
برای این آزمایش از نرم افزار weka استفاده شده است که از ۳ روش اصلی برای انتخاب ویژگی ها استفاده می کند :

الف – روش (Correlation-based Feature Selection (CFS :
نوعی روش کاهش ویژگیهاست که براساس همبستگی ها پایه گذاری شده است.این الگوریتم نمره بالایی به ویژگیهایی می دهد که دارای وابستگی شدیدتر به کلاس و وابستگی ضعیفی با یکدیگر دارند.

ب- (Information Gain) :
در مورد این روش در همین بخش و در قسمت درخت ID3 توضیحات لازم داده شده است.

ج – (Gain Ratio) :
خاصیت آن حساسیت داشتن به این است که یک ویژگی با چه گستردگی و یکنواختی داده ها را جدا میکند.برای اینکار عبارتی
به صورت زیر تعریف میشود:

 

 

حال با استفاده از این فرمول بهره به صورت زیر تعریف می شود :

برای این آزمایش نیز از مجموعه داده KDDCup99 استفاده شده که ۱۰ درصد آن شامل ۴۹۴۰۲۱ رکورد است (در مورد این مجموعه داده در آزمایش های بعدی توضیحات بیشتری ارائه شده است.
در این جا به جای ۵ کلاس معمول موجود در مجموعه داده ها از ۱۱ زیر کلاس مربوط به این ۵ کلاس نام برده شده است. که در جدول های بعدی آن ها را مشاهده خواهید کرد.

برای نرمال سازی داده ها که عبارت است از بردن مقادیر ویژگی ها به محدوده [۰,۱] و همه داده های غیر عددی به عددی تبدیل می شوند از رابطه ی زیر استفاده شده که در آن Fi مقدار ویژگی که قرار است نرمال شود ، (min(F و (max(F بزرگترین و کوچکترین مقادیر ویژگی و FNi ویژگی نرمال شده می باشد :

برای ارزیابی دسته ها از معیارهای استاندارد زیر استفاده شده است :

تی پی ۱۷ : این معیار بیانگر تعداد رکوردهایی است که دسته واقعی آن ها مثبت بوده و الگوریتم دسته بندی دسته آن ها را به درستی تشخیص داده است.
اف پی ۱۸ : این معیار بیانگر تعداد رکوردهایی است که دسته واقعی آن ها منفی بوده و الگوریتم دسته بندی به اشتباه دسته آن ها را مثبت تشخیص داده است.
دقت ۱۹ : مبتنی بر دقت دسته بندی است و مبین آن که چه اندازه می توان به خروجی اعتماد کرد.
فراخوانی ۲۰ : برابر تعداد رکوردهای با برچسب مورد نظر است.

در جدول زیر ، زیر کلاس های حملات را که ۱۱ زیر کلاس مشتق شده از ۵ کلاس اصلی است مشاهده می کنید :

و اما دراین جدول مقدار به دست آمده برای هر یک از معیارهای CfS,Gr,IG را مشاهده می کنید :

مقایسه ی کلاس بندی های درست و غلط درخت تصمیم بر اساس ۳ معیار CFS,GR,IG :

و در نهایت مقایسه TP ها در زیر حملات بر اساس ۳ معیار CFS,GR,IG

اما برای نتیجه گیری همان طور که مشاهده می شود ، دقت به دست آمده از الگوریتم CFS از دو الگوریتم دیگر بیشتر است و این الگوریتم باعث بهبود بیشتری در الگوریتم درخت J48 نسبت به دو الگوریتم دیگر می شود.

 

مشاهده قسمت اول مقاله

ادامه مقاله قسمت سوم