پایان نامه سیستم شناسایی مهاجمان برنامه‌های کاربردی تحت وب به وسیله‌ی ردگیری درخواست‌های HTTP مبتنی بر مدل مخفی مارکوف

پایان نامه مقطع کارشناسی ارشد

رشته مهندسی کامپیوتر

سال 1390

0          چکیده

اتصال روزمره تعداد زیادی از مردم به اینترنت باعث شده‌ است تا برنامه‌های کاربردی تحت وب به یک هدف جذاب برای خراب‌کاران و نفوذ گران رایانه‌ای تبدیل گردد. بر اساس تحقیقاتی که تیم X-Force شرکت IBM در سال ۲۰۱۰ انجام داده است، مشخص شده که برنامه‌های کاربردی تحت وب بیش از ۵۵٪ از آسیب‌پذیر‌ی‌های کشف شده تا امروز را به خود اختصاص داده‌اند. به عنوان مثال ممکن است یک سرویس وب مورد حمله واقع شود تا یک بد افزار مخرب به سرعت گسترش یابد و یا اعتبارنامه دسترسی کاربران را از سرویس‌های وب سرقت کنند. برای حفاظت از برنامه‌های کاربردی از این‌گونه فعالیت‌ها استفاده از یک سیستم تشخیص نفوذ ضروری می‌باشد. متأسفانه، حفاظت از برنامه های کاربردی تحت وب یک کار مشکل است چرا که آن‌ها به طور کلی بزرگ، پیچیده و به شدت سفارشی‌اند. سیستم‌های تشخیص نفوذ سنتی مبتنی بر امضا به دلیل ضعفشان در مقابل حملات جدید، به اندازه‌ی کافی حفاظت مناسبی را تضمین نمی‌کنند. از طرفی سیستم‌های مبتنی بر ناهنجاری هر چند این ضعف را پوشش دادند و جایگزین مناسبی برای سیستم‌های مبتنی بر امضاء‌ می‌باشند، اما هشدارهای اشتباه فراوانی تولید می‌کنند.

در این پایان‌نامه یک سیستم مبتنی بر ناهنجاری جدید برای حفاظت از برنامه‌های کاربردی تحت وب پیشنهاد می‌گردد. این سیستم با پیگیری درخواست‌های HTTP که به یک کاربرد تحت وب ارسال می‌شوند، مهاجمان را شناسایی کرده به طوری که تعداد هشدارهای اشتباه را به طور قابل توجهی کاهش داده و از طرفی توانایی پیش‌بینی حملات را نیز به دست آورد. در اکثر کارهای گذشته، شناسایی و کشف یک حمله فقط محدود به بررسی یک درخواست HTTP بوده، اما این سیستم به محدوده‌ی شناسایی خود وسعت داده و بر رفتار کاربران نظارت می‌کند. فرآیند تشخیصی این سیستم از دو لایه تشکیل شده است؛ لایه‌ی اول مانند سیستم‌های گذشته، هر درخواست HTTP را به صورت موردی وارسی کرده و با به‌کارگیری یکی از تکنیک‌های تشخیص الگو (مانند شبکه‌های عصبی)، برچسب شناسایی را با آن تخصیص می‌دهد. آنچه که در این لایه اهمیت دارد، نگاه نرم آن به کلاس‌های دسته‌بندی درخواست‌ها می‌باشد؛ یعنی برخلاف دسته‌بندی‌های سنتی که نرمال یا غیر نرمال بودن یک درخواست HTTP مدنظر بود، طیف بیشتری به کلاس‌های هدف داده و بین نرمال و غیرنرمال بودن، کلاس‌های جدیدی تعریف می‌کند. این امر باعث می‌شود به جای ایجاد یک تمایز تیز بین دو رفتار نرمال و حمله، به صورت انعطاف‌پذیری با الگوهایی که نزدیک مرز تصمیم‌گیری قرار دارند، رفتار شود. لایه‌ی دوم، برعکس لایه‌ی اول که الگوی خود را یک درخواست‌ HTTP انتخاب کرد، رفتار یک کاربر را به عنوان الگوی خود معرفی می‌کند. این لایه پنجره‌ی زمانی در سابقه‌ی رفتاری کاربران مشکوک گشوده و بر اساس روند تعاملی که آن کاربر با کاربرد تحت وب داشته، تصمیم نهایی را اتخاذ می‌کند. در واقع لایه‌ی دوم، برچسب‌های خروجی لایه‌ی اول را در قالب یک سری زمانی به عنوان ورودی دریافت کرده و بر اساس مدل مخفی مارکوفی که در فاز آموزش از رفتار کاربران نرمال و مهاجمان بنا کرده بود، رفتارهای غیر نرمالی را که به یک حمله شباهت دارند، کشف و حتی پیش‌بینی می‌کند.

 آزمایشات انجام شده روی درخواست‌های HTTP جمع‌آوری شده از سرور یک دانشگاه، نشان داده است که این سیستم با نرخ کشفی معادل 98.96% و نرخ مثبت کاذب 0.87% دارای کارایی بسیار مناسبی می‌باشد؛ همچنین توانسته 14.2% حملات را قبل از کامل شدن تراکنششان، پیش‌بینی کند.

0-1    مقدمه

امروزه اینترنت نقش مهمی را در ایجاد و پیشبرد راه‌های کسب و کار جدید ایفا می‌کند. نیاز های کسب و کار و راهکارهای درآمدزایی که با انگیزه های دولتی و تجاری در سرتاسر جهان توسعه یافته‌اند، سبب پیچیدگی شبکه‌های اطلاعاتی شده‌اند. چنین شبکه‌هایی شامل مجموعه‌ای از تکنولوژی‌ها مانند سیستم‌های ذخیره‌سازی توزیع شده، تکنیک‌های رمزنگاری و احراز هویت، صدا و تصویر روی IP، دسترسی از راه دور و بی‌سیم و سرویس‌های وب می‌باشد. علاوه بر این شبکه‌های دانشگاهی و سازمانی بیشتر در دسترس قرار گرفته‌اند. به عنوان مثال، بسیاری از کسب‌ و کارها اجازه‌ی دسترسی به سرویس‌های موجود بر روی شبکه های محلیشان را می‌دهند و به مشتریان این امکان را می‌دهد تا توسط تراکنش‌های تجاری با شبکه‌هایشان تعامل کنند [1]. این نقاط دسترسی، شبکه‌های امروزی را نسبت به نفوذ و حملات آسیب‌پذیرتر کرده است. دامنه‌ی جرم و جنایت فضای مجازی فراتر از هک کلیشه‌ای شد و پیوستن کارکنان ناراضی به گروه هکرها، شرکت‌های فاسد و حتی سازمان‌های تروریستی باعث بحرانی‌تر شدن این موضوع شده‌اند. جای تعجب نیست که با آسیب پذیری نرم افزارها و پروتکل‌های امروزی و افزایش پیچیدگی حملات امروزی، حملات مثبتی بر شبکه گسترش یابند. نتیجه بررسی که توسط شرکت VanDyk [2] در سال 2003 انجام شد، نشان می‌دهد که حدود 66 درصد شرکت‌ها، نفوذ به سیستم را به عنوان بزرگ‌ترین تهدید تجاری خود می‌شناسند. در طی این بررسی حدود 86 درصد پاسخ‌دهندگان از دیوارهای آتش استفاده می‌کردند، که این امر حاکی از کافی نبودن دیواره آتش برای فراهم کردن سطح امنیتی مناسب می‌باشد. چنین گستردگی در آسیب پذیری نرم افزارها، باعث ناامن شدن محیط‌های محاسباتی و شبکه‌ای شده است و در نتیجه سیستم‌های تشخیص و جلوگیری از نفوذ به عنوان یک زمینه سیستم‌های تشخیص و جلوگیری نفوذ به عنوان یک زمینه‌ی پراهمیت علمی در حال تکامل معرفی شده است. در واقع سیستم‌های تشخیص نفوذ به عنوان مکمل دیواره های آتش در زمینه‌ی امنیت کامپیوتری می‌باشند که به ترتیب انجام وظایف شناسایی و ممانعت را بر عهده دارند.

در این میان یکی از محصولات اینترنت که بیش از هر محصول دیگر مورد استقبال قرار گرفته است، برنامه‌های کاربردی تحت وب[1]می‌باشند که در زمینه‌های مختلف ارتباطی، علمی، پزشکی، کسب‌و‌کار و سرویس‌های عمومی گسترش یافتند. برنامه‌های کاربردی تحت وب نیز خارج از این قاعده نبوده‌اند و حتی به دلیل ساختاری که دارند، بیشتر تحت تأثیر حمله‌ها و نفوذهای غیرمجاز قرار می‌گیرند. آقای Robertson و همکاران [3] مدعی‌اند که تعداد زیادی از برنامه‌های کاربردی توسط افراد کم تجربه به زمینه‌ای امنیت توسعه یافته‌اند، که باعث شده است آسیب‌پذیری‌های برنامه‌های کاربردی ۲۵٪ از کل حفره‌های امنیتی لیست CVE [4] از سال ۱۹۹۹ تا ۲۰۰۵ را تشکیل دهند.

گسترش برنامه‌های کاربردی تحت وب باعث شده‌ است که موضوع حفاظت شبکه‌های کامپیوتری به یک چالش تبدیل شود. شکل ‏1‑1 نتایج تحقیقات اخیر تیم X-Force را نشان می‌دهد که بیان می‌کند بیش از ۵۵٪ از آسیب‌پذیری‌های کشف شده در نیمسال اول ۲۰۱۰ مربوط به برنامه‌های کاربردی تحت وب می‌باشد [5].

شکل ‏1‑1: سهم برنامه‌های کاربردی تحت وب در آسیب‌پذیری‌های کشف شده‌ [5].

تشخیص نفوذ، عمل شناسایی اقداماتی می‌باشد که سعی در مصالحه‌ی قابلیت اطمینان، جامعیت یا دسترس پذیری یک سیستم با شبکه را دارند. سیستم‌های تشخیص نفوذ با جمع آوری، تجزیه و تحلیل اطلاعات نواحی مختلف یک کامپیوتر با یک شبکه، به شناسایی رخنه های امنیتی ممکن می‌پردازد و به دو صورت سیستم‌های مبتنی بر امضا، سیستم‌های مبتنی بر ناهنجاری (رفتار غیرعادی) دسته بندی شده‌اند. سیستم‌های مبتنی بر امضاء به شناسایی الگوهای ترافیک یا داده‌های نرم افزاری که مخرب فرض شده‌اند می‌پردازد. در صورتی که سیستم‌های مبتنی بر ناهنجاری، بر روی شناسایی رفتارهایی که عادی نمی‌باشند، تمرکز دارد. سیستم اول، حملات شناخته شده را نسبتاً قابل اعتماد و یا نرخ کاذب کمی کشف کند، اما از آنجا که برای کشف هر حمله ای نیاز به یک امضای از قبل شناسایی شده دارند، در نتیجه در کشف حملات جدیدی که نفوذ گران و مهاجمان ایجاد می‌کنند ناموفق عمل می‌کند. این ضعف در سیستم‌ها مبتنی بر ناهنجاری به دلیل مدل سازی اعمال و رفتار نرمال یک شبکه با یک کامپیوتر، برطرف شده است. بنابراین یک مهاجم به دلیل شناخته شدن فعالیت‌های نرمال هدف مورد نظر، به سختی می‌تواند بدون شناسایی، به نفوذ یا خرابکاری بپردازد. اما این سیستم‌ها همراه با اشکالاتی نظیر پیچیدگی ذاتی، نرخ خطای بالا و تعیین مشخصات دقیق یک نفوذ یا حمله می‌باشد.

0-2    طرح مسئله

ابتدا به دو موضوع زیر توجه کنید:

1- 3C456E644E6F74653E3C436974653E3C417574686F723E53747574746172643C2F417574686F723E3C596561723E323030383C2F596561723E3C5265634E756D3E33343C2F5265634E756D3E3C446973706C6179546578743E5B362D382C20315D3C2F446973706C6179546578743E3C7265636F72643E3C7265632D6E756D6265723E33343C2F7265632D6E756D6265723E3C666F726569676E2D6B6579733E3C6B6579206170703D22454E222064622D69643D227465767766723265337766727833653072306F78657366347A7A66616676353961767366223E33343C2F6B65793E3C2F666F726569676E2D6B6579733E3C7265662D74797065206E616D653D22426F6F6B223E363C2F7265662D747970653E3C636F6E7472696275746F72733E3C617574686F72733E3C617574686F723E4461667964642053747574746172643C2F617574686F723E3C617574686F723E4D61726375732050696E746F3C2F617574686F723E3C2F617574686F72733E3C2F636F6E7472696275746F72733E3C7469746C65733E3C7469746C653E54686520576562204170706C69636174696F6E204861636B6572E28099732048616E64626F6F6B3A20446973636F766572696E6720616E64204578706C6F6974696E6720536563757269747920466C6177733C2F7469746C653E3C2F7469746C65733E3C73656374696F6E3E312D3133323C2F73656374696F6E3E3C64617465733E3C796561723E323030383C2F796561723E3C2F64617465733E3C7075626C69736865723E57696C6579205075626C697368696E672C20496E633C2F7075626C69736865723E3C75726C733E3C2F75726C733E3C2F7265636F72643E3C2F436974653E3C436974653E3C417574686F723E5363616D627261793C2F417574686F723E3C596561723E323031313C2F596561723E3C5265634E756D3E33323C2F5265634E756D3E3C7265636F72643E3C7265632D6E756D6265723E33323C2F7265632D6E756D6265723E3C666F726569676E2D6B6579733E3C6B6579206170703D22454E222064622D69643D227465767766723265337766727833653072306F78657366347A7A66616676353961767366223E33323C2F6B65793E3C2F666F726569676E2D6B6579733E3C7265662D74797065206E616D653D22426F6F6B223E363C2F7265662D747970653E3C636F6E7472696275746F72733E3C617574686F72733E3C617574686F723E4A6F656C205363616D627261793C2F617574686F723E3C617574686F723E56696E63656E74204C69753C2F617574686F723E3C617574686F723E43616C65622053696D613C2F617574686F723E3C2F617574686F72733E3C2F636F6E7472696275746F72733E3C7469746C65733E3C7469746C653E4861636B696E67204578706F73656420576562204170706C69636174696F6E733A20576562204170706C69636174696F6E205365637572697479205365637265747320616E6420536F6C7574696F6E733C2F7469746C653E3C2F7469746C65733E3C65646974696F6E3E333C2F65646974696F6E3E3C73656374696F6E3E312D3236353C2F73656374696F6E3E3C64617465733E3C796561723E323031313C2F796561723E3C2F64617465733E3C7075626C69736865723E4D63477261772D48696C6C3C2F7075626C69736865723E3C75726C733E3C2F75726C733E3C2F7265636F72643E3C2F436974653E3C436974653E3C417574686F723E4D63436C7572653C2F417574686F723E3C596561723E323030333C2F596561723E3C5265634E756D3E33333C2F5265634E756D3E3C7265636F72643E3C7265632D6E756D6265723E33333C2F7265632D6E756D6265723E3C666F726569676E2D6B6579733E3C6B6579206170703D22454E222064622D69643D227465767766723265337766727833653072306F78657366347A7A66616676353961767366223E33333C2F6B65793E3C2F666F726569676E2D6B6579733E3C7265662D74797065206E616D653D22426F6F6B223E363C2F7265662D747970653E3C636F6E7472696275746F72733E3C617574686F72733E3C617574686F723E537475617274204D63436C7572653C2F617574686F723E3C617574686F723E5361756D696C20536861683C2F617574686F723E3C617574686F723E536872656572616A2053686168203C2F617574686F723E3C2F617574686F72733E3C2F636F6E7472696275746F72733E3C7469746C65733E3C7469746C653E576562204861636B696E673A2041747461636B7320616E6420446566656E73653C2F7469746C653E3C2F7469746C65733E3C73656374696F6E3E3131372D3136303C2F73656374696F6E3E3C64617465733E3C796561723E323030333C2F796561723E3C2F64617465733E3C7075626C69736865723E41646469736F6E205765736C65793C2F7075626C69736865723E3C75726C733E3C2F75726C733E3C2F7265636F72643E3C2F436974653E3C436974653E3C417574686F723E466F6E736563613C2F417574686F723E3C596561723E323031303C2F596561723E3C5265634E756D3E33353C2F5265634E756D3E3C7265636F72643E3C7265632D6E756D6265723E33353C2F7265632D6E756D6265723E3C666F726569676E2D6B6579733E3C6B6579206170703D22454E222064622D69643D227465767766723265337766727833653072306F78657366347A7A66616676353961767366223E33353C2F6B65793E3C2F666F726569676E2D6B6579733E3C7265662D74797065206E616D653D22436F6E666572656E63652050726F63656564696E6773223E31303C2F7265662D747970653E3C636F6E7472696275746F72733E3C617574686F72733E3C617574686F723E4A6F736520466F6E7365636120262378393B3C2F617574686F723E3C617574686F723E4D6172636F2056696569726120262378393B3C2F617574686F723E3C617574686F723E48656E7269717565204D616465697261203C2F617574686F723E3C2F617574686F72733E3C2F636F6E7472696275746F72733E3C7469746C65733E3C7469746C653E546865205765622041747461636B657220506572737065637469766520E280932041204669656C642053747564793C2F7469746C653E3C7365636F6E646172792D7469746C653E32317374204945454520496E7465726E6174696F6E616C2053796D706F7369756D206F6E20536F6674776172652052656C696162696C69747920456E67696E656572696E673C2F7365636F6E646172792D7469746C653E3C2F7469746C65733E3C70616765733E3239392D3330383C2F70616765733E3C64617465733E3C796561723E323031303C2F796561723E3C2F64617465733E3C7075622D6C6F636174696F6E3E57617368696E67746F6E2C2044432C205553413C2F7075622D6C6F636174696F6E3E3C7075626C69736865723E494545453C2F7075626C69736865723E3C75726C733E3C2F75726C733E3C2F7265636F72643E3C2F436974653E3C2F456E644E6F74653E00 [6-8, 1]، بلکه به دنباله رفتارهایی که در گذشته اتفاق افتاده بستگی دارد. بنابراین فرآیند تشخیص هجوم یا نفوذ به صورت موردی فقط بر روی یک رویداد انجام نمی‌شود؛ در واقع این فرآیند یک مسئله‌ی سری زمانی است که در آن دنباله رویدادهایی که در طول زمان اتفاق می‌افتاده‌اند، الگوی یک حمله را شکل می‌دهند. مدل‌سازی نفوذ یک مدل‌سازی مبتنی بر زمان فعالیت‌ها است که یک نفوذ را فراهم می‌آورند. مهاجم حمله‌ی خودش را با اعمال مقدماتی شروع کرده و به فعالیت‌های خود ادامه می‌دهند تا به یک دسترسی غیرمجاز و عمل مخرب دست یابد. هر گونه تلاشی که در طول جریان حمله توسط هر شخصی صورت گیرد، تهدید شناخته می‌شود.

2- 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 [9-11]، ضعف سیستم‌های مبتنی بر امضاء را برطرف کردند (تشخیص حمله‌های جدید) اما یک مشکل اساسی دارند و آن نیز بالا بودن نرخ مثبت کاذب می‌باشد. این سیستم‌ها با شناسایی رفتار نرمال، ناهنجاری‌ها را تشخیص می‌دهند ولی در مواجهه با الگوهایی که نزدیک به ناهنجاری قرار می‌گیرند (چه الگوی نرمال و چه حمله) دچار سردرگمی می‌شوند. از آن‌جا که ناهنجاری همیشه یک رفتار مخرب نیست [11] از این‌رو باید روندی در پیش گرفت که حتی بین ناهنجاری که به حمله ختم می‌شود و رفتارهای ناهنجار دیگر تفاوت قائل شود. ما قصد داریم چارچوبی در این سیستم‌ها تعبیه کنیم که آن‌ها را از این حالت خارج کرده تا بتوانند با بنا کردن مرزی انعطاف‌پذیر بین رفتار‌های نرمال و حمله، به بهترین شکل ناهنجاری‌های حمله‌ای را تشخیص دهند.

با توجه به این دو موضوع، می‌توان مسئله را بدین صورت تعریف کرد: ارائه‌ی یک سیستم تشخیص نفوذ مبتنی بر ناهنجاری که با پیگیری رفتارهای ناهنجار و مشکوک، فقط حمله‌ها را تشخیص ‌دهد نه هر رفتار ناهنجاری را.

0-3    اهداف و محدوده

سیستم پیشنهادی این پایان‌نامه سه هدف کلی دارد:

1-

2-

3-

سیستم پیشنهادی سعی دارد حمله‌های علیه برنامه‌های کاربردی تحت وب را شناسایی کند. مکانیزم شناسایی که به کار خواهد گرفت، درخواست‌های HTTP با روش GET[4] را هدف قرار می‌دهد، در نتیجه فقط قادر به تشخیص مهاجمانی می‌باشد که از این نوع درخواست‌ها برای طرح حمله‌ی خود استفاده کرده و فقط برنامه‌های کاربردی را تحت پوشش قرار می‌دهد که این نوع درخواست‌ها را به عنوان کانال ارتباطی خود با کاربران انتخاب می‌کنند.

1 Web Applications

[2] -  نرخ خطا به دو صورت نرخ مثبت کاذب و منفی کاذب تعریف می شود.

[3] - در فصل ۲ و ۵ می‌خوانیم که رفتار یک کاربر یه صورت دنباله‌ای از درخواست‌های HTTP که او به کا‌ربرد تحت وب ارسال می‌کند، تعریف می‌شود.

[4] - ارسال درخواست‌های HTTP به روش‌های مختلفی انجام می‌پذیرد که هر یک برای اهداف مربوط به خود به کار گرفته می‌شوند. یکی از این روش‌ها که در آن یک پیغام فقط حاوی عنوان می‌باشد، GET است.

0          منابع

[1]       D. Stuttard and M. Pinto, The Web Application Hacker’s Handbook: Discovering and Exploiting Security Flaws: Wiley Publishing, Inc, pp. 1-132, 2008.

[2]       Corporation, "VanDyke," 1995-2003 VanDyke Software. Inc, http://www.vandyke.com, 2003.

[3]       W. Robertson, G. Vigna, C. Kruegel, and R. A. Kemmerer, "Using generalization and characterization techniques in the anomaly-based detection of web attacks," in Symposium on Network and Distributed System Security 2006.

[4]       Corporation, "Common Vulnerabilities and Exposures," http://cve.mitre.org/, 2006.

[5]       "IBM X-Force 2010 Mid-Year Trend and Risk Report," Technical report, IBM Global Technology Services, 2010.

[6]       J. Fonseca, M. Vieira, and H. Madeira, "The Web Attacker Perspective – A Field Study," in 21st IEEE International Symposium on Software Reliability Engineering, Washington, DC, USA, pp. 299-308, 2010.

[7]       S. McClure, S. Shah, and S. Shah, Web Hacking: Attacks and Defense: Addison Wesley, pp. 117-160, 2003.

[8]       J. Scambray, V. Liu, and C. Sima, Hacking Exposed Web Applications: Web Application Security Secrets and Solutions, 3 ed.: McGraw-Hill, pp. 1-265, 2011.

[9]       V. Chandola, A. Banerjee, and V. Kumar, "Anomaly Detection: A Survey," ACM Computing Surveys, vol. 41, no. 3, pp. 1-58, 2009.

[10]     P. Garcia-Teodoroa, J. Diaz-Verdejoa, G. Macia-Fernandeza, and E. Vazquez, "Anomaly-based network intrusion detection: Techniques, systems and challenges," Computers and Security, vol. 28, no. 1, pp. 18-28, 2009.

[11]     A. Patcha and J.-M. Park, "An overview of anomaly detection techniques: Existing solutions and latest technological trends," Computer Networks, vol. 51, no. 12, pp. 3448-3470, 2007.

[12]     M. P. P. Team, Microsoft Application Architecture Guide, 2 ed.: Microsoft Corporation, 2009.

[13]     M. Curphey, J. Scambray, and E. Olson, Improving Web Application Security:Threats and Countermeasures: Microsoft Corporation, pp. 70-125, 2003.

[14]     M. Andrews and J. A. Whittaker, How to Break Web Software: Functional and Security Testing of Web Applications and Web Services: Addison-Wesley Professional, pp. 265-421, 2006.

[15]     J. Williams and D. Wichers, OWASP top 10: The Ten Most Critical Web Application Security Vulnerabilities: OWASP Foundation, April, 2010.

[16]     J. Williams and D. Wichers, OWASP top 10: The Ten Most Critical Web Application Security Vulnerabilities: OWASP Foundation, July, 2007.

[17]     S. Theodoridis and K. Koutroumbas, Pattern Recognition, 4 ed.: Accademic Press, pp. 521-554, 2009.

[18]     J. P. M. d. Sa, Pattern Recoanition: Concepts, Methods and Applications: Springer, pp. 1-16, 171-175, 2001.

[19]     E. Alpaydın, Introduction to Machine Learning, 2 ed.: The MIT Press, pp. 365-380, 334-255, 2010.

[20]     F. Anil K. Jain, R. P. W. Duin, and J. Mao, "Statistical Pattern Recognition: A Review," IEEE TRANSACTIONS ON PATTERN ANALYSIS AND MACHINE INTELLIGENCE, vol. 22, no. 1, pp. 4-37, 2000.

[21]     R. O. Duda, P. E. Hart, and D. G. Stork, Pattern Classification, 2 ed.: John Wiley & Sons, Inc, pp. 14-16, 128-133, 282-295, 2000.

[22]     C. M. Bishop, Pattern Recognition and Machine Learning: Springer, pp. 610-625, 2006.

[23]     C. M. Bishop, Neural Networks for Pattern Recognition: Clarendon Press .Oxford, pp. 116-123, 160-164, 1995.

[24]     S. Haykin, Neural Networks: A Copmrehensive Foundation: Pearson Prentice Hall, pp . 244, 245 , 255, 2005.

[25]     S. K. Sharma and P. Chandra, "Constructive Neural Networks: A Review," Engineering Science and Technology, vol. 2, no. 12, pp. 7847-7855, 2010.

[26]     G. P. Zhang, "Neural Networks for Classification: A Survey," IEEE TRANSACTIONS ON SYSTEMS, MAN, AND CYBERNETICS, vol. 30, no. 4, pp. 451-462, 2000.

[27]     D. Michie, D. J. Spiegelhalter, and C. C. Taylor, Machine Learning, Neural And Statistical Classification, pp. 1-9, 1994.

[28]     J. Heaton, Introduction to Neural Networks with Java, 2 ed.: Heaton Research, Inc, pp. 143-160, 213-218, 2008.

[29]     J. M. Santos, L. A. Alexandre, and J. M. d. Sa, "The Error Entropy Minimization Algorithm for Neural Network Classication," in International Conference on Recent Advances in Soft Computing, Nottingham, United Kingdom, 2004.

[30]     J. M. Santos, L. A. Alexandre, and J. M. d. Sa, "Optimization of the Error Entropy Minimization Algorithm for Neural Network Classification," Intelligent Engineering Systems through Artificial Neural Networks, ASME Press Series, vol. 14, 81-86, 2004.

[31]     L. M. Silva, J. M. d. S´a, and L. A. Alexandre, "Neural Network Classification using Shannon’s Entropy," presented at the European Symposium on Artificial Neural Networks, Belgium, pp. 217-222, 2005.

[32]     J. Kennedy and R. Eberhart, "Particle Swarm Optimization," in IEEE International Conference on Neural Networks, Perth, WA , Australia, pp. 1942-1948, 1995.

[33]     M. Clerc and J. Kennedy, "The particle swarm-explosion, stability, and convergence in a multidimensional complex space," IEEE Transactions on Evolutionary Computation, vol. 6, no. 1, pp. 58–73, 2002.

[34]     F. V. d. Bergh and A. P. Engelbrecht, "Cooperative Learning in Neural Networks using Particle Swarm Optimizers," South African Computer Journal, vol. 26, 84-90, 2000.

[35]     B. Al-kazemi and C. K. Mohan, "Training Feedforward Neural Network Using Multi-phase Particle Swarm Optimization," in 9th International Conference on Neural Information Processing, New York, 2002.

[36]     K. E. Parsopoulos and M. N. Vrahatis, "On the Computation of All Global Minimizers Through Particle Swarm Optimization," IEEE Transactions on Evolutionary Computation, vol. 8, no. 3, pp., 2004.

[37]     V. G. Gudise and G. K. Venayagamoorthy, "Comparison of particle swarm optimization and backpropagation as training algorithms for neural networks," in Swarm Intelligence Symposium, IEEE, pp. 110-117, 2003.

[38]     K. K. Kuok, S. Harun, and S. M. Shamsuddin, "Particle Swarm Optimization Feedforward Neural Network for Hourly Rainfall-runoff Modeling in Bedup Basin, Malaysia," International Journal of Civil & Environmental Engineering, vol. 9, no. 10, pp. 20-39, 2010.

[39]     G. Ou and Y. L. Murphey, "Multi-Class Pattern Classification using Neural Networks," Pattern Recognition Letters, vol. 40, 4–18, 2007.

[40]     E. L. Allwein, R. E. Schapire, and Y. Singer, "Reducing multiclass to binary: a unifying approach for margin classifiers," Machine Learning Research archive, vol. 1, 113-141, 2000.

[41]     C. Hsu and C. Lin, "A comparison of methods for multiclass support vector machines," IEEE Transaction on Neural Networks, vol. 18, no. 2, pp. 415-425, 2002.

[42]     W. Zucchini and I. MacDonald, Hidden Markov Models for Time Series: An Introduction Using R: CRC Press, pp. 29-57, 2009.

[43]     L. R. Rabiner and B. H. Juang, "An  Introduction to Hidden Markov Models," ASSP Magazine, IEEE, vol. 3, no. 1, pp. 4-16, 1986.

[44]     L. R. Rabiner, "A tutorial on hidden markov models and selected applications in speech recognition," in IEEE, pp. 257–286, 1989.

[45]     J. F. Mari, J. P. Haton, and A. Kriouile, "Automatic word recognition based on second-order hidden Markov models," IEEE Transactions on  peech and Audio Processing, vol. 5, no. 1, pp. 22-25, 1997.

[46]     D. Shiping, C. Tao, Z. Xianyin, W. Jian, and W. Yuming, "Training Second-Order Hidden Markov Models with Multiple Observation Sequences," presented at the IEEE International Forum on Computer Science-Technology and Applications, pp. 25-29, 2009.

[47]     l. L. MacDonald and W. Zucchini, Hidden Markov and Other Modelsfor Discrete-valued Time Series: CHAPMAN & HALL, pp. 55-104, 1997.

[48]     B. W. Min, H. S. Yoon, J. Soh, Y. M. Yang, and T. Ejima, "Hand gesture recognition using hidden Markov models," presented at the IEEE International Conference on Computational Cybernetics and Simulation, Orlando, FL , USA, pp. 4232-4235, 1997.

[49]     I. Corona, D. Ariu, and G. Giacinto, "HMM-Web: a framework for the detection of attacks against Web applications," in IEEE international conference on Communications, Dresden, Germany, 2009.

[50]     L. I. K. eva, Combining Pattern Recognition: John Wiley & Sons, Inc, pp. 101-106, 203-220, 2004.

[51]     L. Rokach, Pattern Classification using Ensemble Methods vol. 75: World Scientific, pp. 51-63, 65-68, 2010.

[52]     F. Roli and G. Giacinto, "Design of Multiple Classifier Systems," in Hybrid Methods in Pattern Recognition, ed: World Scientific Publishing, pp. 199-226, 2002.

[53]     S. B. Cho, "Pattern recognition with neural networks combined by genetic algorithm," Fuzzy Sets and Systems, vol. 103, 339 – 347, 1999.

[54]     J. P. Anderson, "Computer  security  threat  monitoring  and  surveillance," Technical report, James P. Anderson Company, Fort Washington, Pennsylvania1980.

[55]     D. E. Denning, "An  Intrusion-Detection  Model," IEEE  Transactions  in  Software  Engineering, vol. 13, no. 2, pp. 222-232, 1987.

[56]     S. Axelsson, "Research  in  intrusion-detection  systems:  A  survey," Department  of  Computer  Engineering,  Chalmers University of Technology, Goteborg, Sweden, Technical Report1998.

[57]     S. Kumar and E. H. Spafford, "An Application of Pattern Matching in Intrusion Detection," The COAST Project, Department of Computer Science, Purdue University, West Lafayette, IN, USA. Technical Report CSD-TR-94-0131994.

[58]     J. M. Estevez-Tapiador, P. Garcia-Teodoro, and J. E. Diaz-Verdejo, "Anomaly detection methods in wired networks: a survey and taxonomy," Computer Communications, vol. 27, no. 16, pp. 1569-1584, 2004.

[59]     H. Debar, M. Dacier, and A. Wespi, "Towards a taxonomy of intrusion-detection systems," Computer Networks, vol. 31, no. 9, pp. 805-822, 1999.

[60]     M. F. Marhusin, D. Cornforth, and H. Larkin, "An Overview of Recent Advances in Intrusion Detection," in 8th IEEE International Conference on Computer and Information Technology, Sydney, NSW pp. 432-437, 2008.

[61]     S. Peddabachigari, A. Abraham, C. Grosan, and J. Thomas, "Modeling intrusion detection system using hybrid intelligent systems," Network and Computer Applications, vol. 30, no. 1, pp. 114-132, 2007.

[62]     S. E. Smaha, "Haystack: An Intrusion Detection System," presented at the IEEE Fourth Aerospace Computer Security Applications Conference, Orlando, FL, pp. 37-44, 1988.

[63]     D. E. Denning and P. G. Neumann, "Requirements and model for IDES-A real-time intrusion detection system," Computer Science Laboratory, SRI International, Menlo Park, CA 94025-3493, Technical report #83F83-01-001985.

[64]     T. F. Lunt, A. Tamaru, F. Gilham, R. Jagannathan, P. G. Neumann, and C. Jalali, "A Real-time Intrusion Detection Expert System (IDES)," in the Sixth Annual Computer Security Applications Conference, Tucson, AZ , USA, pp. 273-285, 1990.

[65]     D. Anderson, T. Frivold, and A. Valdes, "Next-generation Intrusion Detection Expert System (NIDES): A Summary," Computer Science Laboratory, SRI International, Menlo Park,  CA, USA, Technical Report SRI-CSL-95-071995.

[66]     T. F. Lunt, H. Javitz, A. Tamaru, and A. Valdes, "Detecting Unusual Program Behavior Using the Statistical Component of the Next-generation Intrusion Detection Expert System (NIDES)," Computer Science Laboratory, SRI International, Menlo Park, CA, USA SRI-CSL-95-061995.

[67]     S. Staniford, J. A. Hoagland, and J. M. McAlerney, "Practical automated detection of stealthy portscans," Computer Security, vol. 10, no. 1-2, pp. 105-136, 2002.

[68]     M. Roesch, "Snort - Lightweight Intrusion Detection for Networks," in the 13th USENIX conference on System administration, USENIX Association Berkeley, CA, USA, pp. 229-238, 1999.

[69]     N. Ye, S. M. Emran, Q. Chen, and S. Vilbert, "Multivariate statistical analysis of audit trails for host-based intrusion detection," IEEE Transactions on Computers, vol. 15, no. 7, pp. 810-820, 2002.

[70]     C. Krugel, T. Toth, and E. Kirda, "Service specific anomaly detection for network intrusion detection," in the 2002 ACM symposium on Applied computing, New York, NY, USA, pp. 201-208, 2002.

[71]     R. A. Maxion and F. E. Feather, "A case study of Ethernet anomalies in a distributed computing environment," IEEE Transactions on Reliability, vol. 39, no. 4, pp. 433-443, 1990.

[72]     W. Lee and D. Xiang, "Information-theoretic measures for anomaly detection," in 2001 IEEE Symposium on Security and Privacy, Washington, DC, USA, pp. 130-143, 2001.

[73]     C. Kruegel, G. Vigna, and W. Robertson, "A multi-model approach to the detection of web-based attacks," Computer Networks, vol. 48, no. 5, pp. 717-738, 2005.

[74]     S. Forrest, S. A. Hofmeyr, A. Somayaji, and T. A. Longstaff, "A Sense of Self for Unix Processes," in IEEE Symposium on Research in Security and Privacy, Oakland, CA, USA, pp. 120-128, 1996.

[75]     S. A. Hofmeyr, S. Forrest, and A. Somayaji, "Intrusion Detection Using Sequences of System Calls," Computer Security, vol. 6, no. 3, pp. 151-180, 1998.

[76]     C. Warrender, S. Forrest, and B. Pearlmutter, "Detecting Intrusions Using System Calls: Alternative Data Models," in IEEE Symposium on Security and Privacy, Oakland, CA, USA, pp. 133-145, 1999.

[77]     E. Eskin and W. Lee, "Modeling System Calls for Intrusion Detection with Dynamic Window Sizes," in DARPA Information Survivability Conference & Exposition, Anaheim, CA, pp. 165-175, 2001.

[78]     D. X. Hoang and M. N. Nguyen, "A program-based anomaly intrusion detection scheme using multiple detection engines and fuzzy inference," Network and Computer Applications, vol. 32, no. 6, pp. 71-81, 2009.

[79]     D. Ariu and G. Giacinto, "HMMPayl: an application of HMM to the analysis of the HTTP Payload," Journal of Machine Learning Research, MIT Press, vol. 11, 81-87, 2010.

[80]     D. Heckerman, "A Tutorial on Learning With Bayesian Networks," Microsoft Research, Technical Report MSR-TR-95-06, 1995.

[81]     A. Valdes and K. Skinner, "Adaptive Model-based Monitoring for Cyber Attack Detection," in Third International Workshop on Recent Advances in Intrusion Detection Toulouse, France, pp. 80-92, 2000.

[82]     P. A. Porras and P. G. Neumann, "EMERALD:  Event  Monitoring  Enabling  Responses  to  Anomalous  Live Disturbances," in 20th  NIST-NCSC  National  Information  Systems  Security  Conference, Baltimore,  MD,  USA, pp. 353-365, 1997.

[83]     C. Kruegel, D. Mutz, W. Robertson, and F. Valeur, "Bayesian  Event  Classification  for  Intrusion  Detection," in 19th Conference on Annual Computer Security Applications, Las Vegas, 2003.

[84]     M. l. Shyu, S. c. Chen, K. Sarinnapakorn, and L. Chang, "A Novel Anomaly Detection Scheme Based on Principal Component Classifier," in IEEE  Foundations  and  New  Directions  of  Data  Mining  Workshop, Melbourne,  Florida, USA, pp. 172-179, 2003.

[85]     N. Ye, S. Member, Y. Zhang, and C. M. Borror, "Robustness of the Markov-Chain Model for Cyber-Attack Detection," IEEE Transactions on Reliability, vol. 53, no. 1, pp. 116-123, 2004.

[86]     D. Y. Yeung and Y. Ding, "Host-Based  Intrusion  Detection  Using  Dynamic  and  Static  Behavioral  Models," Pattern Recognition, vol. 36, no. 1, pp. 229-243, 2003.

[87]     M. V. Mahoney and P. K. Chan, "PHAD: Packet Header Anomaly Detection for Identifying Hostile Network Traffic," Department of Computer Sciences, Florida Institute of Technology, Melbourne, FL, USA, Technical Report CS-2001-4, 2001.

[88]     M. V. Mahoney and P. K. Chan, "Learning  Nonstationary  Models  of  Normal  Network  Traffic  for  Detecting  Novel Attacks," in Eighth ACM SIGKDD International conference on Knowledge discovery and data mining, Edmonton, Canada, pp. 376-385, 2002.

[89]     Y. Li, R. Wang, J. Xu, G. Yang, and B. Zhao, "Intrusion Detection Method Based on Fuzzy Hidden Markov Model," in Sixth International Conference on Fuzzy Systems and Knowledge Discovery, Tianjin, pp. 470-474, 2009.

[90]     J. M. Estévez-Tapiador, P. García-Teodoro, and J. E. Díaz-Verdejo, "Detection of Web-based Attacks through Markovian Protocol Parsing," in 10th IEEE Symposium on Computers and Communications, pp. 457 - 462, 2005.

[91]     W. Lee and S. J. Stolfo, "Data mining approaches for intrusion detection," in 7th  USENIX  Security  Symposium, San Antonio, Texas, USA, pp. 79-94, 1999.

[92]     W. Lee, S. J. Stolfo, and K. W. Mok, "Adaptive Intrusion Detection: a Data Mining Approach," Artificial Intelligence Review, vol. 14, no. 6, pp. 533-567, 2000.

[93]     W. W. Cohen, "Fast  Effective  Rule  Induction," in 12th  International  Conference  on  Machine  Learning, Tahoe  City, CA, pp. 115-123, 1995.

[94]     W. Li, "Using Genetic Algorithm for Network Intrusion Detection," presented at the The United States Department of Energy Cyber Security Group 2004 Training Conference, pp. 1-8, 2004.

[95]     J. R. Quinlan, C4.5: Programs for Machine Learning. San Francisco, CA, USA: Morgan Kaufmann Publishers Inc, 1993.

[96]     W. Lee, S. J. Stolfo, and K. W. Mok, "A Data Mining Framework for Building Intrusion Detection Models," in IEEE Symposium on Security and Privacy, Oakland, CA, pp. 120-132, 1999.

[97]     S. M. Bridges and R. B. Vaughn, "Fuzzy  Data  Mining  and  Genetic  Algorithms  Applied  to  Intrusion  Detection," presented at the Conference on National Information Systems Security, 2000.

[98]     J. E. Dickerson and J. A. Dickerson, "Fuzzy  network  profiling  for  intrusion  detection," in 19th  International Conference of the North American Fuzzy Information Processing Society, Atlanta, GA, pp. 301-306, 19th  International Conference of the North American Fuzzy Information Processing Society.

[99]     M. M. Pillai, J. H. P. Eloff, and H. S. Venter, "An Approach to Implement a Network Intrusion Detection System using Genetic  Algorithms," in annual  research  conference  of  the  South  African  institute  of  computer  scientists  and information technologists on IT research in developing countries, Stellenbosch, Western Cape, South Africa, pp. 221-228, 2004.

[100]  M. Crosbie and E. H. Spafford, "Applying Genetic Programming to Intrusion Detection," Working Notes for the AAAI Symposium on Genetic Programming, Cambridge, 1-8, 1995.

[101]  A. K. Ghosh, C. Michael, and M. Schatz, "A  Real-Time  Intrusion  Detection  System  Based  on  Learning  Program Behavior," in Third  International  Workshop  on  Recent  Advances  in  Intrusion  Detection  Toulouse, France, pp. 93-109, 2000.

[102]  A. K. Ghosh and A. Schwartzbard, "A Study in Using Neural Networks for Anomaly and Misuse Detection," in Proceedings of the 8th USENIX Security Symposium, Washington, USA, 1999.

[103]  A. K. Ghosh, A. Schwartzbard, and M. Schatz, "Learning  Program  Behavior  Profiles  for  Intrusion  Detection," in 1st USENIX Workshop on Intrusion Detection and Network Monitoring, Santa Clara, California, USA, 1999.

[104]  M. Ramadas, S. Ostermann, and B. Tjaden, "Detecting  Anomalous  Network  Traffic  with  Self-organizing  Maps," in 6th International Symposium on Recent Advances in Intrusion Detection, Pittsburgh, USA, pp. 36-54, 2003.

[105]  A. H. Sung and S. Mukkamala, "Identifying  Important  Features  for  Intrusion  Detection  Using  Support  Vector Machines and Neural Networks," in 2003 Symposium on Applications and the Internet, pp. 209-216, 2003.

[106]  T. Fawcett, "An introduction to ROC analysis," Pattern Recognition Letters - Special issue: ROC analysis in pattern recognition, vol. 27, no. 8, pp. 882-891, 2006.

[107]  A. P. Bradley, "The use of the area under the roc curve in the evaluation ofmachine learning algorithms," Pattern Recognition, vol. 30, no. 7, pp. 1145-1159, 1997.

[108]  R. A. Maxion and R. R. Roberts, "Proper Use of ROC Curves in Intrusion/Anomaly Detection," School of Computing Science, CS-TR-871, University of Newcastle upon Tyne, UK 2004.

[109]  D. J. Hand, "Measuring classifier performance: a coherent alternative to the area under the ROC curve," Machine Learning, vol. 77, no. 1, pp. 103-123, 2009.

[110]  R. Smith, A. Bivens, M. Embrechts, C. Palagiri, B. Szymanski, and I. P. of, "Clustering approaches for anomaly based intrusion detection," in Intelligent Engineering Systems through Artificial Neural Networks, pp. 579-584, 2002.

[111]  I. Steinwart, D. Hush, and C. Scovel, "A classification framework for anomaly detection," Machine Learning Research archive, vol. 6, 211-232, 2005.

[112]  B. Whitehead and W. Hoyt, "A function approximation approach to anomaly detection in propulsion system test data," in 29th AIAA/SAE/ASME/ASEE Monterey, CA, USA, 1993.

[113]  N. Ye and Q. Chen, "An anomaly detection technique based on a chi-square statistic for detecting intrusions into information systems," Quality and Reliability Engineering International, vol. 17, 105-112, 2001.

[114]  F. Roli and G. Giacinto, "Pattern Recognition for Intrusion Detection in Computer Networks," in Pattern Recognition and String Matching, D. Chen and X. Cheng, Eds., ed: Kluwer Academic Publishers, 2002.

[115]  R. Perdisci, A. Lanzi, and W. Lee, "Classification of packed executables for accurate computer virus detection," Pattern Recognition Letters, vol. 29, no. 14, pp. 1941-1946, 2008.

[116]  R. Perdisci, G. Gu, and W. Lee, "Using an ensemble of one-class svm classifiers to harden payload-based anomaly detection systems," presented at the International Confrance on Data Mining, pp. 288-298, 2006.

[117]  A. K. Jain, P. Flynn, and A. A. Ross, Handbook of Biometrics: Springer, 2008.

[118]  D. Ariu, R. Tronci, and G. Giacinto, "HMMPayl: An intrusion detection system based on Hidden Markov Models," Computers & Security, vol. 30, no. 4, pp. 221-241, 2011.

[119]  T. Detristan, T. Ulenspiegel, Y. Malcom, and M. S. V. Underduk, "Polymorphic Shellcode Engine Using Spectrum Analysis," Phrack Inc, vol. 0x0b, no. 0x3d, pp., 2003.

[120]  A. Moosa, "Artificial Neural Network based Web Application Firewall for SQL Injection," Engineering and Technology, vol. 64, 12-21, 2010.

[121]  I. Ahmad, A. B. Abdullah, and A. S. Alghamdi, "Application of Artificial Neural Network in Detection of DOS Attacks," presented at the Proceedings of the 2nd international conference on Security of information and networks, 2009.

[122]  J. Li, Y. Liu, and L. Gu, "DDoS attack detection based on neural network " presented at the 2nd International Symposium on Aware Computing (ISAC),, Tainan, pp. 196-199, 2010.

[123]  G. Wang, J. Hao, J. Ma, and L. Huang, "A new approach to intrusion detection using Artificial Neural Networks and fuzzy clustering," Expert Systems with Applications, vol. 37, no. 9, pp. 1122-1131, 2010.

[124]  O. Gani, H. Sarwar, and M. Rahman, "Prediction of State of Wireless Network Using Markov and Hidden Markov Model," Journal of Network, vol. 4, no. 10, pp. 976-984, 2009.

[125]  W. Kang, D. Shine, and D. Shin, "Prediction of state of user's behavior using Hidden Markov Model in ubiquitous home network," in IEEE International Conference on Industrial Engineering and Engineering Management, Macao, pp. 1752-1756, 2010.

[126]  "Milw0rm," ed. http://www.milw0rm.com, April, 2010.

[127]  "The Open Source Vulnerability Database," ed. http://osvdb.org/, 2010.

[128]  "Packet Storm Global Security Disclosure," ed. http://packetstormsecurity.org/, 2010-2011.

[129]  "vulnerability-lab," ed. http://www.vulnerability-lab.com/, 2011.

[130]  https://www.owasp.org/index.php/GPC_Project_Details/OWASP_ZAP, "OWASP ZAP 1.3.2," ed: OWASP ZAP Attack Proxy Project, 2010-2011.

[131]  http://www.nstalker.com/, "N-Stealth HTTP Security Scanner, Enterprise Edition," ed, pp. N-Stalker, 2010.

[132]  "AForge.NET Framework 2.2.3," ed. http://www.aforgenet.com: LGPL v3 license, 2011.

[133]  "Accord.NET Framework 2.4.0," ed. http://accord-net.origo.ethz.ch/: ETH Zürich, 2010.