Development of Organizations

أحد أهم المشاكل التي تواجه المنظمات هي خطر الاختراق من قبل الدخلاء الداخليين/أو الخارجيين. الدخلاء الداخليين أكثر خطورة من الدخلاء الخارجيين لأن أنشطتهم لا يرقى إليها الشك. وبالتالي، وجدنا أنه من المهم أن تقترح طريقة تقلل من اختراق المنظمات لا سيما من قبل الدخلاء الداخليين. من المعروف أن أنظمه الحاسوب في المنظمات تسجل أنشطة جميع المستخدمين في أنواع مختلفة من ملفات السجل (log files). في هذا البحث نركز على كشف الاختراقات باستخدام المعلومات المخزنة في ملف السجل. للقيام بذلك، نحن بحاجة لتتبع الأنشطة اليومية لجميع المستخدمين، وتوليد مجموعة من القواعد التي تكشف عن أي نشاط مشتبه فيه لا يكون جزءاً من سلوك المستخدمين (بناء قاعدة أو مجموعة من القواعد تكشف عن الدخلاء على أساس سلوكهم الشاذ). تم استخدام تقنية التنقيب عن البيانات لتوليد هذه القواعد والكشف عن الدخلاء. كان من الصعب جداً استخدام ملف سجل (log file) من منظمة كبيرة. لم تسمح لنا أي منظمة لاستخدام ملف سجل النظام الخاص بها (لأغراض أمنية). أيضاً لم نجد أي مجموعة بيانات قياسية (بيانات المعاملات ملف السجل). ولذلك فإننا قمنا ببناء ملف سجل محاكاة خاص بنا من خلال مراقبة سلوك المستخدمين في شركة صغيرة لمدة أسبوع. ثم حللنا ملف السجل لمجموعة من الخصائص (باستخدام نافذة انزلاق أسفل إلى أعلى)، وتم تقسيم الحركات المخزونة في ملف السجل إلى جزأين، جزء للتدريب وجزء للاختبار. ونجري عملية التقسيم 3- مرات للتحقق من صحة التقييم(K-fold) . يتكون هذا العمل بشكل أساسي من مرحلتين. مرحلة التعلم باستخدام قاعدة الارتباط(association rule) الذي يولد مجموعتين من القواعد (قواعد الكشف عن الهجوم، وقواعد السلوكيات العادية). استخدمنا قاعدة الارتباط للكشف عن العلاقة بين المتغيرات (أنشطة المستخدم) في ملف السجل. لتقييم أداء القواعد المتولدة, طبقنا هذه القواعدعلى جزء بيانات الاختبار وأوجدنا ف-القياس(F-measure) . المرحلة الثانية هي مرحلة بناء آلية أمنية حيث قمنا بتطوير التقنية الأمنية للمنظمة استناداً على أنشطة السجل الهامة (الأنشطة المتضمنة في القواعد المتولدة في المرحلة الأولى). استخدام فكرة النافذة المتحركة (إلى الأعلى وإلى الأسفل) لبناء الآلية الأمنية المقترحة للكشف عن أي عمل مشبوه لاختراق نظام المنظمة.