در دنیای امروز که شبکه‌های کامپیوتری به شریان‌های حیاتی جوامع مدرن تبدیل شده‌اند، حجم ترافیک داده‌ها با سرعتی سرسام‌آور در حال افزایش است. این رشد فزاینده، چالش‌های جدیدی را برای مدیران شبکه و کارشناسان امنیت به همراه داشته است. نظارت، مدیریت و مهم‌تر از همه، تأمین امنیت این حجم عظیم از داده‌ها نیازمند ابزارهای هوشمند و کارآمد است. شناسایی رفتارهای غیرعادی یا ناهنجار در ترافیک شبکه، یکی از مهم‌ترین اقدامات برای حفاظت از زیرساخت‌ها در برابر حملات سایبری، جلوگیری از اختلال در سرویس‌ها و بهینه‌سازی عملکرد شبکه است.

مقاله “Catching Unusual Traffic Behavior using TF-IDF-based Port Access Statistics Analysis” نوشته کیچی شیما، رویکردی نوآورانه و خلاقانه برای حل این مسئله ارائه می‌دهد. اهمیت این مقاله در پیوند زدن دو حوزه به ظاهر نامرتبط نهفته است: پردازش زبان طبیعی (NLP) و امنیت شبکه. این پژوهش نشان می‌دهد که چگونه می‌توان از یک الگوریتم محبوب در تحلیل متون، یعنی TF-IDF، برای یافتن الگوهای مشکوک در لاگ‌های دسترسی شبکه استفاده کرد. این روش، به جای تکیه بر امضاهای حملات شناخته‌شده (Signature-based detection)، بر تحلیل آماری و رفتاری ترافیک متمرکز است و می‌تواند ناهنجاری‌های جدید و ناشناخته را نیز شناسایی کند، که این خود یک مزیت استراتژیک در دنیای پویای تهدیدات سایبری محسوب می‌شود.

این مقاله توسط کیچی شیما (Keiichi Shima) به رشته تحریر درآمده و در حوزه تخصصی معماری شبکه و اینترنت (Networking and Internet Architecture) قرار می‌گیرد. این شاخه از علوم کامپیوتر به طراحی، ساخت، مدیریت و بهینه‌سازی شبکه‌های کامپیوتری، از شبکه‌های محلی کوچک گرفته تا زیرساخت عظیم اینترنت، می‌پردازد. پژوهشگران در این حوزه با چالش‌هایی نظیر افزایش سرعت، کاهش تأخیر، بهبود امنیت و مدیریت بهینه منابع شبکه دست‌وپنجه نرم می‌کنند. کار شیما در این مقاله، نمونه‌ای برجسته از تلاش برای حل یکی از معضلات اساسی مدیریت شبکه، یعنی تشخیص ناهنجاری، با استفاده از تکنیک‌های نوین علم داده است.

هدف اصلی این پژوهش، ارائه روشی برای شناسایی رفتارهای غیرعادی ترافیک شبکه با تحلیل آماری لاگ‌های دسترسی به پورت‌ها است. نویسنده برای این منظور، از الگوریتم TF-IDF (مخفف Term Frequency – Inverse Document Frequency) بهره می‌برد که یکی از روش‌های کلیدی در حوزه پردازش زبان طبیعی برای ارزیابی اهمیت یک کلمه در یک سند است.

ایده اصلی مقاله بر یک نگاشت هوشمندانه استوار است:

• مفهوم «کلمه» (Term) در پردازش زبان طبیعی، به «شماره پورت» (Port Number) در شبکه نگاشت داده می‌شود.
• مفهوم «سند» (Document) به «تاریخچه دسترسی‌های یک روز» (Daily Access History) نگاشت داده می‌شود.

با این رویکرد، الگوریتم TF-IDF می‌تواند پورت‌هایی را شناسایی کند که در یک روز خاص به دفعات زیادی مورد دسترسی قرار گرفته‌اند (بسامد بالای کلمه)، اما در مجموع روزهای دیگر به ندرت مشاهده شده‌اند (بسامد معکوس بالای سند). چنین الگویی می‌تواند نشان‌دهنده یک رویداد غیرعادی باشد. البته نویسنده تأکید می‌کند که این رفتارها همیشه مخرب نیستند، اما یک شاخص قوی برای شروع تحلیل‌های عمیق‌تر و دقیق‌تر توسط مدیران شبکه به شمار می‌روند. در نهایت، با استفاده از یک مجموعه داده واقعی، این روش موفق به شناسایی دو مورد دسترسی مرتبط با بات‌نت و یک نوع ترافیک UDP منحصربه‌فرد شده است که کارایی عملی آن را به اثبات می‌رساند.

متدولوژی این تحقیق بر پایه الگوریتم TF-IDF بنا شده است. این الگوریتم از دو بخش اصلی تشکیل شده است که در ادامه به تفصیل تشریح می‌شوند:

۱. بسامد کلمه (Term Frequency – TF)

این معیار نشان می‌دهد که یک «کلمه» (در اینجا، یک شماره پورت خاص) چند بار در یک «سند» (در اینجا، لاگ‌های یک روز مشخص) تکرار شده است. در زمینه تحلیل ترافیک، TF برای یک پورت معین در یک روز خاص، بیانگر فراوانی دسترسی به آن پورت در آن روز نسبت به کل دسترسی‌ها به همه پورت‌ها در همان روز است. TF بالا برای یک پورت یعنی آن پورت در آن روز بسیار فعال بوده است.

TF(پورت, روز) = (تعداد دسترسی به پورت در آن روز) / (تعداد کل دسترسی‌ها در آن روز)

۲. بسامد معکوس سند (Inverse Document Frequency – IDF)

این معیار، اهمیت کلی یک «کلمه» (پورت) را در کل مجموعه «اسناد» (تمام روزهای مورد بررسی) می‌سنجد. اگر یک پورت در اکثر روزها فعال باشد (مانند پورت 80 برای ترافیک وب)، IDF آن پایین خواهد بود، زیرا اطلاعات خاصی را در مورد یک روز مشخص به ما نمی‌دهد. اما اگر یک پورت فقط در تعداد کمی از روزها مشاهده شود، IDF آن بالا خواهد بود، که نشان‌دهنده نادر بودن و خاص بودن آن است.

IDF(پورت) = log(تعداد کل روزها / تعداد روزهایی که پورت در آنها مشاهده شده است)

۳. محاسبه امتیاز TF-IDF

امتیاز نهایی از حاصل‌ضرب این دو مقدار به دست می‌آید. یک امتیاز TF-IDF بالا برای یک پورت در یک روز مشخص به این معناست که:

• آن پورت در آن روز به‌طور غیرعادی فعال بوده است (TF بالا).
• آن پورت در روزهای دیگر بسیار کم‌کار یا غیرفعال بوده است (IDF بالا).

این ترکیب دقیقاً همان چیزی است که یک رفتار ناهنجار را تعریف می‌کند: یک رویداد نادر و متمرکز. به عنوان مثال، یک حمله اسکن پورت که تنها در یک روز انجام می‌شود یا فعالیت یک سرور فرمان و کنترل بات‌نت که فقط برای مدت کوتاهی فعال می‌شود، امتیاز TF-IDF بالایی تولید خواهد کرد.

نویسنده برای اعتبارسنجی روش پیشنهادی، آن را روی یک مجموعه داده واقعی از لاگ‌های شبکه پیاده‌سازی کرد. نتایج این آزمایش بسیار امیدوارکننده بود و به شناسایی چندین رفتار غیرعادی منجر شد:

• شناسایی دو دسترسی مبتنی بر بات‌نت (Bot-oriented accesses): این روش توانست دو الگوی دسترسی متمایز را که به فعالیت‌های خودکار و هماهنگ بات‌نت‌ها شباهت داشت، شناسایی کند. این بات‌نت‌ها از پورت‌های خاصی برای ارتباط استفاده می‌کردند که در روزهای عادی ترافیک چندانی نداشتند، اما در روزهای فعالیت، ترافیک بالایی را به خود اختصاص می‌دادند. این کشف به مدیران شبکه امکان می‌دهد تا ماشین‌های آلوده را شناسایی و پاک‌سازی کنند.
• شناسایی یک ترافیک UDP منحصربه‌فرد (Unique UDP traffic): الگوریتم یک الگوی ترافیکی غیرمعمول مبتنی بر پروتکل UDP را نشانه‌گذاری کرد. ترافیک UDP به دلیل ماهیت بدون اتصال (Connectionless) خود می‌تواند برای فعالیت‌های مختلفی از جمله حملات DDoS، استریمینگ یا بازی‌های آنلاین استفاده شود. این روش توانست یک جهش ناگهانی و غیرمنتظره در ترافیک یک پورت UDP خاص را که با الگوی معمول شبکه همخوانی نداشت، برجسته کند.

مهم‌ترین یافته این بود که این روش توانست از میان میلیون‌ها رکورد لاگ، تنها چند رویداد انگشت‌شمار اما بسیار مهم را برای بررسی بیشتر به تحلیلگر انسانی معرفی کند. این قابلیت فیلترسازی هوشمند، به طور چشمگیری در زمان و هزینه تحلیل صرفه‌جویی می‌کند.

این پژوهش دستاوردها و کاربردهای عملی متعددی را برای مدیران شبکه و کارشناسان امنیت به ارمغان می‌آورد:

• ابزار مکمل سیستم‌های تشخیص نفوذ (IDS): این روش می‌تواند به عنوان یک ابزار مکمل در کنار سیستم‌های تشخیص نفوذ مبتنی بر امضا عمل کند. در حالی که IDSها در شناسایی تهدیدات شناخته‌شده تبحر دارند، روش TF-IDF می‌تواند ناهنجاری‌های رفتاری و حملات روز صفر (Zero-day) را که هنوز امضایی برای آنها وجود ندارد، کشف کند.
• اتوماسیون در نظارت شبکه: این الگوریتم به سادگی قابل پیاده‌سازی و اتوماسیون است و می‌تواند به صورت دوره‌ای روی لاگ‌های شبکه اجرا شده و گزارش‌هایی از فعالیت‌های مشکوک با بالاترین امتیاز TF-IDF تولید کند.
• شناسایی پیکربندی‌های نادرست: علاوه بر کاربردهای امنیتی، این روش می‌تواند برای شناسایی سرویس‌های با پیکربندی نادرست یا نرم‌افزارهایی که رفتار غیرمنتظره‌ای از خود نشان می‌دهند نیز مفید باشد. برای مثال، یک سرویس که به اشتباه شروع به ارسال حجم بالایی از ترافیک روی یک پورت غیرمعمول می‌کند، به سرعت شناسایی خواهد شد.
• مقیاس‌پذیری بالا: الگوریتم TF-IDF از نظر محاسباتی کارآمد است و می‌توان آن را برای تحلیل مجموعه داده‌های بسیار بزرگ (Big Data) که در شبکه‌های مدرن امری رایج است، به کار گرفت.

مقاله کیچی شیما با موفقیت نشان می‌دهد که چگونه می‌توان با الهام از حوزه‌ای دیگر مانند پردازش زبان طبیعی، راه‌حل‌های نوآورانه‌ای برای چالش‌های دیرینه در مدیریت شبکه ارائه داد. نوآوری اصلی این تحقیق در نگاشت هوشمندانه مفاهیم شبکه به مفاهیم زبانی و استفاده از قدرت آماری الگوریتم TF-IDF برای کشف الگوهای پنهان در داده‌های ترافیک نهفته است.

این رویکرد یک روش داده‌محور و پیشگیرانه برای یافتن “سوزن در انبار کاه” ارائه می‌دهد؛ یعنی شناسایی رویدادهای نادر اما بالقوه خطرناک در میان حجم عظیمی از ترافیک عادی روزمره. این پژوهش نه تنها یک ابزار عملی و مؤثر در اختیار اپراتورهای شبکه قرار می‌دهد، بلکه درهای جدیدی را برای کاربرد گسترده‌تر تکنیک‌های یادگیری ماشین و علم داده در راستای ارتقای امنیت و پایداری زیرساخت‌های دیجیتال باز می‌کند.