مقدمه:

غالباﹰ email ها لبد یل استفاده زیاد یک گزینه مناسب برای گسترش ویروس و کـرم هـا وبرنامه های مخرب می باشند . معمولا ویروس های از این طریق منتشر می شوند بـا سـرعت بسـیار زیادی گسترش می یابند.هنگامی که کاربر، email حاوی ویروس را باز می کند ویروس شروع بـه فعالیت می کند و به دنبال تکثیر خودش می باشد و این کار را از طریق پیـ دا کـردن آدرسemail
قربانیان جدید انجام می دهد. این آدرس هـا معمـوﹰلا از منـابع مختلفـی بدسـت مـی آینـد . نظیـ ر addressbook اکانت کاربر، گوش کردن به لایه سوکت و یا آرشـ یو email هـا ی ذخیـ ره شـده درکامپیوترکاربر.
آنتی ویروس روش غالبی می باشد کـه بـا اسـتفاده از آن مـی تـوان از گسـترش ویـ روس جلوگیری کرد . اما چالش اساسی در که مورد آنتی ویروس ها وجود دارد این مـ ی باشـد کـه آنتـی ویروس ها قادر به تشخیص ویروس های ناشناخته نمی باشند. علت این که آنتی ویروس ها قادر به تشخیص ویروس هـا ی ناشـناخته ن یسـتند ا یـ ن مـ ی باشد که مبتنی بر الگو١ می باشند یعنی یک دی بتا یسـ ی از الگـو هـای ویـ روس هـا ی ویـ روس هـا ی شناخته شده در آن وجود دارد. اگر یک email ویروسی باشد و الگوی مربوط بـه آن و یـ روس درون دی بتا یس آنتی ویروس موجود باشد ، ویروس تشخیص داده شده و ازفعالیت آن جلوگیری می شـود. در صورت عدم وجود الگو، آنتی ویروس قادر به تشخیص ویروس و درنتیجـه قـادر بـه جلـوگیری از
فعالیت ویروس نخواهند بود.] [
این مشکل را تا حدی می توان با بروزرسانی دوره ای دی بتا یس آنتی ویروس هـا بـر طـرفکرد اما مشکلی وجود دارد این می باشد از زمانی که ویروس شروع به فعالیت می کنـد و تـا زمـانی که الگوی ویروس شناسایی می شود ، مدت زمانی طول می کشـد و در طـول ایـ ن مـدت و یـ روس بدون هیچ گونه مزاحمتی می تواند فعالیتش را انجام دهد وآسیب های زیادی را بـه س یسـتم هـای کامپیوتری تحمیل می کند. به عنوان مثال، ویروس sobig.F در اواخر تابستان سال 00 منتشـرشد. مدت زمانی که طول کشید الگوی این ویروس شناسایی شود، این ویروس خودش را توانست بـهطور گسترده ای بر روی اینترنت پخش کند و خسارت زیادی را تحمیل کند.[7] به طور مشابه این قضیه در مورد حفره های امنیتی ناشناخته ای که در سیستم ها وجـود
دارد صدق می کند. یعنی تا زمانی که حفره های امنیتی ناشناخته ای در سیسـتم هـا وجـود دارد ،سیستم ها در برابر حملات ویروس ها آسیب پذیر می باشد. زمانی این حفره های امنیتـ ی مشـخصمی شوند که مورد حمله ویروس قرار گرفته و سیستم آسیب می بیند و در مواجه با این حفـره هـا ،برنامه های کمکی امنیتی٢نوشته می شود و به سیستم اضافه می شوند.
در پاسخ به مشکل ذکر شده ، عدم شناسایی ویروس های ناشناخته، سیستم های جدیـ دی بوجود آمدند تحت عنوان سیستم های تشخیص حمله٣ ایجاد شدند کـه وظ یفـه آن هـا تشـخیص حمله های ویروسی ناشناخته می باشد.

برای دانلود رایگان قسمت های بیشتراز فایل به انتهای مطلب مراجعه کنید

فهرست مطالب

چکیده ………………………………………………………………………………………………………………………………….. ١٢ مقدمه ………………………………………………………………………………………………………………………………….. ۱۳

فصل اول:کلیات

– ۱ )هدف
هدف اصلی از این تحقیق تشخیص حملـه و یـ روس هـا ی ناشـناخته بـه سـرویس دهنـده
email می باشد. به دلیل این که email ها به دلیل استفاده زیاد، یک بستر مناسب بـرا ی گسـترش
ویروس می باشند، با تشخیص حملات ویروسی بر روی سـرو یس دهنـده هـای email مـ ی تـوان ازگسترش ویروس ها به سیستم های کامپیوتری جلوگیری کرد.[7]
۱ -۲)پیشینه تحقیق
لاو ین بار آزمایشگاه تشخیص حمله دانشـگاه کلمب یـ ا در سـال ۲۰۰۳ ابـزار ی تحـت عنـوانMET ابر ی تشخیص گسترش email های ویروسی ارائه کرد.سپس همـ ین مرکـز در همـان سـالابزار دیگری را به نام EMT ارائه کرد که بوسیله آن می توانستند اکانـت هـای کـاربران ی کـه آلـودهویروس می باشد را تشخیص دهد
۱ -۳)روش کار و تحقیق
ایده اصلی در تشخیص حمله به سرویس دهندگان email این می باشد که رفتار سـرو یس
دهنده email در حالت عادی( مورد حمله قرار نگرفته شده) متفاوت از حالتی می باشـد کـه مـوردحمله قرار گرفته است.
منظور از رفتار در پاراگراف بالا میزان ترافیک (میزان email هـا ی ارسـال ی یـ ا دریـ افتی )
سرویس دهنده email می باشد . ابر ی تشخیص حملات( ویروس) ناشناخته ، رفتار سرویس دهندگان بـه دو دسـته عـادی و غیر تقسیم می گردد. حالت عادی، حالتی می باشد کـه در آن سـرویس دهنـده مـورد حملـه قـرارنگرفته و ترافیک سرویس دهنده تغییر محسوسـ ی نداشـته و حالـت عـادی حـالت ی مـ ی باشـد کـهسرویس دهنده مورد حمله قرار گرفته است. بنابراین با تشـخ یص ایـ ن کـه رفتـار سـرویس دهنـدهغیرعادی می باشد می توان به وجود حمله را تشخیص داد.
روش های مختلفی ابر ی تشخیص رفتار غیر عادی سرویس دهنده وجود دارد.کـه در ا یـ ن
تحقیق چهار روش کلی ابر ی تشخیص رفتار غیر عادی سرویس دهنده بررسی شـده اسـت.در فصـلدوم روش های مبتنی بر رفتار حساب کاربر بررسی می شود که با استفاده از بررسی فعالیت کاربران سرویس دهنده email می توان به غیر عادی بودن وضعیت سرویس دهنده پست الکترونیکـ ی پـ ی برد.در فصل سوم با استفاده از روش تحلیل رابطه بین آیتم ها الگوی رفتاری کاربر کشف می شـود وبا استفاده از این الگوی های بدست رفتار غیر عادی تشـخ یص داده مـ ی شـود . در فصـل چهـارم بـ ا استفاده از روش چند لایه، وضعیت رفتار سرویس دهنده رفتار می شود. ایـ ن روش از ویژگـ ی چنـدلایه و با استفاده از یک طبقه بندی کننده بیز و همبستگی بین لایه هـا ، رفتـار غیـ ر عـاد ی سـرورتشخیص داده می شود.

۱-۱)هدف ………………………………………………………………………………………………………………………………. ۱۶
۱-۲)پیشنه تحقیق …………………………………………………………………………………………………………………….. ۱۶
۱-۳)روش کار و تحقیق ………………………………………………………………………………………………………………… ۱۶

فصل دوم: روش مبتنی بر رفتارحساب کاربر

• توزیع تجمعی: با استفاده از این مدل می توان نرخ email های همراه باattachment را کـه یـ ک کاربر برای کاربران متمایز می فرستد بدست آورد و هنگامی که یک ویروس حمله مـ ی کنـد از ا یـ ن رفتار آگاهی ندارد و رفتار متفاوتی از کاربر عادی از خود نشان می دهد.
٢ -١- ١)ارتباط اجتماعی کاربر [3]
معموﹰلا یک کاربر در فرستادن email به اشخاص گوناگون از یکسری ارتباط اجتمـاع ی تبعیـ ت مـ ی کند و برای بیان کردن این ارتباطات اجتماعی از ساختاری به نام خوشه٨ استفاده می شود.
۲- ۱ -۱ -۱)خوشه کاربر ٩
خوشه به مجموعه دریافت کنندگان١٠ وفرستنده یک email گفته می شود. به عنوان نمونه email ای که یک کارمند برای همکارانش در یک سازمان می فرستد، گیرندگان این email و فرستنده اعضای یـ ک خوشه تشخیص می دهند .با توجه به این که یک کاربر دارای سطوح مختلفی از روابط اجتماعی مـ ی باشـد، انتظار می رود که خوشه های مختلفی ابر ی آن وجود داشته باشد و همچنین به دلیل ایـ ن کـه بـین سـطوحمختلف روابط اجتماعی همپوشانی وجود دارد بین اعضای این خوشه ها همپوشانی به وجود می آید. به عنوان مثال،یک کارمند یکسری email های کاری را که برای همکارانش، و یکسری email های خصوصی را برای خانواده اش می فرستد. باتوجه به این دو نوع email ارسالی ،دو خوشه را می توان برای این کاربر متصور شد.
ارتباطات email کاربران را می توان به صورت یک گراف جهت دارG(V,E) در نظر گرفت که V
مجموعه گره های متناظر با اکانت های email کاربران می باشد و E مجموعه یال ها، که متناظر با email های فرستاده شده از یک کاربر به دیگر کاربران می باشد. یال جهت دار 12e هنگامی ایجاد می شود اگر و تنها اگر email ای از اکانت 1V به اکانت 2V فرستاده شود. که 1V و 2V متعلق به مجموعه V می باشد.
شکل(۲ -۱)، خوشه ایجاد شده برای 1v که بوسیله فرستادن email از 1v به 2v به کمک مدل گراف می توان دریافت که خوشه های اجتماعی، الگوهای مشخصی در حساب Email یک کاربر می باشد و به عنوان رفتار عادی اکانت email یک کاربر محسوب می شود.
عمل فرستادن email مانند هر تراکنش دیگری که بر روی وب انجام می گیرد، مجموعه ای از
آیتم ها می باشند که این آیتم ها مجموعه ای از حساب های email که شامل آدرس فرستنده (درفیلد From) و آدرس دریافت کننده یا دریافت کنندگان (فیلدهای BCC ،CC ، TO) می باشد. با تحلیل های آیتم ها می توان قواعد رابطه بین آیتم ها را بدست آورد که روابط به صورت یک خوشه نشان داده می شوند.
یــــــــــک خوشــــــــــه کــــــــــاربر بــــــــــه عنــــــــــوان مجموعــــــــــه ای از دریافت کنندگان که در خوشه های دیگر عضو نیستند تعریف می شود. به طور معمول از آرشیو email یـ ک کاربر، تعداد خوشه های کمی می توان بدست آورد اما تعداد اعضای این خوشه زیاد می باشد.به عنوان مثـالیـــک کـــاربر در پوشـــه email فرســــتاده شـــده خــــود دارای لیســـت دریافـــت کننــــدگان {A,B,D}و {A,B,C} می باشد. خوشه های کاربر مربوط به این کـاربر {A,B,C},{A,B,D},{A,B,C}می باشد. نکته مهم در این خوشه ها این است که این دو خوشه زیر مجموعه هم نمی باشند. ایـ ن خوشـه هـا رامی توان به صورت تحلیل offline بر روی پروفایل(تاریخچه فعالیت) یک کاربر در طـ ی دوره زمـان ی بدسـتآورد.
۲- ۱ -۱ -۱ -۱)تشخیص ویروس
یک ویروس بدلیل این که الگوی ارتباط بین کاربران را نمـ ی دانـد ، یـ ک email را بـه افـرادی کـهمتعلق به خوشه های مختلف هستند می فرستد یعنی الگویی که ویروس در فرستادن email ها به کـار مـی برد با هیچ یک از این خوشه ها مطابقت ندارد و نقض خوشه اتفاق می افتد. نقض خوشه عبارت است از حالتی که دریافت کنندگان یک email که با ساختار خوشه های کـاربرسازگاری نداشته باشند یا به عبارت دیگر سـاخ تار خوشـه هنگـامی نقـض مـی شـود کـه لیسـت در یافـتکنندگان email زیر مجموعه هیچ یک از خوشه های متعلق به اکانت کاربر نباشد. این نقض کـردن سـاختاراین امکان تشخیص حمله را می دهد. در مثال شکل (۲-۲) اگـر مجموعـه دریافـت کننـدگانemail یـ ک کاربر {A,B,E} باشد به دلیل این که مجموعه دریافت کنندگان، زیر مجموعـه هـیچ یـ ک از خوشـه نمـی باشد، یک نقض خوشه رخ داده است و این email یک ویروس می باشد. پس از بدست آوردن این خوشه ها، برای هر email ارسـال ی، چـک مـی شـود کـه لیسـت در یافـت ها را نقض می کند یا خیر.
نکته ای که قابل توجه این است که هنگامی که کاربر یک email را بـرا ی تمـام ی افـراد ی کـه درaddress book هستند می فرستد، کلیه خوشه ها فقط و فقط به یک خوشه تبدیل می شـود و تـا زمـانی که کاربر یک email به آدرس جدید نفرستد، خوشه جدیدی ایجاد نمی گردد و مشکلی دیگـر ی کـه وجـوددارد این است که هنگامی که یک email به یک آدرس جدید که در خوشه وجود ندارد بفرستد، ایـ ن روش این email را ویروسی تشخیص می دهد.
از طرف دیگر ،در این حالت به دلیل این که تنها یک خوشه وجود دارد، امکان بوجود آمـدن نقـضدر ساختار وجود ندارد در نتیجه نمی توان ویروس را تشخیص داد اما در عمل این email هـا درصـد بسـیار ناچیزی از کل email های یک کاربر را تشکیل می دهند و در مواقع بسیار نادری رخ مـ ی دهـد . بـه عنـواننمونه هنگامی که یک کاربر می خواهد آدرس email جدیدش را به اطلاع دیگر کاربران برساند، یـ ک email .می کند broadcast رادر جدول(۲-۲) نتایج حاصل از بررسی الگوی ارتباطی ۹ کاربر نشان داده شـده اسـت. نتـا یج نشـانمی دهد که یک کاربر یک email را برای کمتر از ۱۰% که در address book آن کاربر هستند می فرسـتد
که به این معناست که این کاربر بـا تعـداد کمـی از کـار بـرای ارتبـاط خ یلـ ی نزدیکـ ی دارد و email هـا ی broadcast شده درصد خیلی کمی از email های یک کاربر را تشخیص می دهد.

۲-۱ ) تقسیم بندی روش های مبتنی بر رفتار ……………………………………………………………………………………… ١٩
٢-١- ١) ارتباط اجتماعی کاربر ………………………………………………………………………………………………………… ٢٠
٢-١- ١-١)خوشه کاربر ………………………………………………………………………………………………………………….. ٢٠
۲-۱- ۱-۱-۱)تشخیص ویروس ………………………………………………………………………………………………………….. ۲۲
۲-۱- ۲)پروفایل ناپایدار کاربران …………………………………………………………………………………………………………. ۲۵
٢-١- ٢-١)پروفایل کاربر ………………………………………………………………………………………………………………….. ٢۶
٢-١- ٢-٢)تشخیص ویروس …………………………………………………………………………………………………………….. ٢٩
٢-١- ٢-٣)تست کای – دو ……………………………………………………………………………………………………………… ٢٩
٢-١- ٢-٣-١)رابطه ی کای-دو ………………………………………………………………………………………………………….. ٣١
٢-١- ٢-۴-١)عملکرد فاصله Hellinger بر روی حمله ویروس ……………………………………………………………………….. ۳۴
٢-١- ٣)ترکیب مدل خوشه کاربر و فاصله Hellinger …ا…………………………………………………………………………….. ۳۵
٢-١- ٣-١)الگوریتم اسکن رو به جلو و رو به عقب ………………………………………………………………………………….. ٣۶
۲-۱- ۴)توزیع تجمعی attachment ها ………………………………………………………………………………………………. ۳۹

فصل سوم: روش تحلیل رابطه بین آیتم ها

ابر ی ایجاد پروفایل، رویداد فرستادن email به عنوان یک شیء و دریافت کنندگان email
به عنوان ویژگی های شیء در نظر گرفته می شود . که این ویژگی ها دارای دو نوع اطلاعات می باشند. اطلاعات spatial و اطلاعات موقتی . اطلاعات spatial شامل لیست دریافت کنندگان email می باشد و اطلاعات موقتی شامل ساعت و تاریخ فرستادن email می باشد. به عنوان مثال اگر کاربری به نام X یک email را به چهار آدرس A,B,C وD در روز بیستم آگوست در ساعت 13:30:30 بفرستد ، مجموع آدرس دریافت کنندگان ،اطلاعات از نوع spaitial و تاریخ بیستم آگوست و ساعت ۳۰:۳۰:۱۳ اطلاعات موقتی را تشکیل می دهند.
مجموع اطلاعات نوع spaitial که از رویداد های فرستادن email در طی یک دوره
زمانی حاصل می شود منبع بدست آوردن پروفایل یا الگوی رفتار کاربر محسوب می شود.
.۳ -۱- ۱)الگوی رفتار کاربر الگوی رفتاری یک کاربر (لیست دریافت کنندگان ) اطلاعات از نوع spatial می باشد که این الگو را می توان بر اساس لیست دریافت کنندگان کاربر بدست آورد. در مثال فوق ، چهار دریافت کننده A,B,C,D مشخص کننده یک الگوی فرستادن email می باشد. الگوی فرستادن email مجموعه ای از دریافت کنند گان می باشد که از رویداد های
فرستادن email استخراج می شود.
ساختن پروفایل رفتاری کاربر شامل دو مرحله می باشد:
۱- تحلیل گروهی
۲-تحلیل وابستگی
منظور از گروه در مرحله یک، مجموعه ای از در یافت کنندگان می باشد که بین آن ها
رابطه ای حاکم می باشد. یعنی مجموعه ای از دریافت کنندگان که باهم در یک رخداد فرستادن email باهم ظاهر می شوند.در مرحله دوم وابستگی بین عناصر گروه های بدست آمده ،کشف می شود.
۳ -۱ -۲)تحلیل گروهی
ابر ی تحلیل گروهی باید یک سری نماد تعریف کرد که این نماد ها شامل r، یک دریافت
کننده و {R ={r1,r2 ,…,rn مجموعه دریافت کنندگان email یک کاربر می باشد.e مجموعه
ای از چند دریافت کننده و الگوی فرستادن email کاربر می باشد. {E ={e1,e2 ,…,em مجموعه ای از الگو ها می باشد که که از فرستادن email های کاربر طی یک دوره زمانی بدست می آید.
g نشان دهنده گروه، که مجموعه ای از چند دریافت کننده می باشد
و {G ={g1, g2 ,…,gk مجموعه ای از گروه ها می باشد. مجموعه G دارای دو نوع ویژگی عمومی و احتصاصی می باشد و همچنین یک ویژگی ارتباط گروهی که با استفاده از آن می توان تشخیص داد که آیا رفتار فرستادن email عادی می باشد یا خیر. ۱- ویژگی عمومی
Υ g =Υe = R
۲-ویژگی اختصاصی
∀i ≠ j gi ∩ g j =o
۳-ویژگی اتباط گروهی
∀e∈E ∃g ⇒ e ⊂ g
ویژگی عمومی بیان کننده این نکته می باشد. که مجموعه g شامل تمامی دریافت کنندگانی می باشد که در الگوی فرستادن email وجود دارد.
ویژگی اختصاصی بیان کننده این قضیه می باشد که هیج دریافت کننده ای متعلق به دو
گروه نمی باشد و ویژگی ارتباط گروهی ،ویژگی مهمی می باشد که از آن برای ارزیابی رفتار کاربر استفاده می شود و این قضیه را بیان می کند که مجموعه دریافت کنند گان یک email متعلق به یک گروه می باشند. در جدول شماره(۳- ۱) الگو های فرستادن email مربوط به یک کاربر آمده است.

۳-۱)ایجاد پروفایل کاربر ……………………………………………………………………………………………………………….. ۴۲
.۳-۱-۱)الگوی رفتار کاربر ……………………………………………………………………………………………………………… ۴۲
۳-۱- ۲)تحلیل گروهی ………………………………………………………………………………………………………………… ۴۳
۳-۱- ۳)الگوریتم ایجاد گروه …………………………………………………………………………………………………………… ۴۵
۳-۱- ۴)تحلیل رابطه ی وابستگی …………………………………………………………………………………………………… ۴۶
۳-۲)تشخیص رفتار غیرعادی ………………………………………………………………………………………………………… ۴۸

فصل چهارم: روش چند لایه

۴-۱)دسته بندی ویژگی ها ………………………………………………………………………………………………………….. ۵۰
۴-۲)ویژگی چند لایه………………………………………………………………………………………………………………….. ۵۱
۴-۲- ۱) ویژگی های دسته TCP/IP …..ا…………………………………………………………………………………………… ۵۱
۴-۲- ۲) ویژگی های دسته SMTP …ا……………………………………………………………………………………………….. ۵۲
۴-۲- ۴) ویژگی دسته پروفایل کاربر ………………………………………………………………………………………………….. ۵۳
۴-۲- ۵) ویژگی های دسته پروفایل سرور …………………………………………………………………………………………… ۵۴
۴-۳)تشخیص حمله ……………………………………………………………………………………………………………………. ۵۴
۴-۳- ۱)طبقه بندی کننده بیز …………………………………………………………………………………………………………. ۵۴
۴-۳- ۲)طبقه بندی کننده بیز برای تشخیص حمله ……………………………………………………………………………….. ۵۵
۴-۳- ۳) همبستگی بین لایه ها …………………………………………………………………………………………………….. ۵۸
۴-۳- ۳) قوانین بین لایه ها …………………………………………………………………………………………………………. ۵۹

برای دانلود رایگان قسمت های بیشتراز فایل به انتهای مطلب مراجعه کنید

فصل پنجم: نتیجه گیری وپیشنهاد

۵-۱)نتیجه گیری …………………………………………………………………………………………………………………….. ۶۴
۵-۲)پیشنهاد ………………………………………………………………………………………………………………………… ۶۵
فهرست منابع لاتین ………………………………………………………………………………………………………………… ۶۷ سایت های اطلاع رسانی ………………………………………………………………………………………………………….. ۶۷
۲-۱) کاربرد های روش مبتنی بر رفتار کاربر……………………………………………………………………………………….. ۱۹
۲-۲) لیست دریافت کنندگان email های مربوط به نه کاربر ……………………………………………………………………. ۲۴
۳-۱) لیست دریافت کنندگان یک کاربر ……………………………………………………………………………………………. ۴۴
۳-۲) نتایج آنالیز گروهی ……………………………………………………………………………………………………………. ۴۶
۳-۳) تناظر بین رویداد های فرستادن email و گروه های بدست آمده ……………………………………………………….. ۴۶
۳-۴)رفتار بدست آمده از یک کاربر ………………………………………………………………………………………………… ۴۷
۴-۱) ویژگی های دسته TCP/IP ……ا……………………………………………………………………………………………. ۵۲
۴-۲)ویژگی های دسته SMTP …….ا……………………………………………………………………………………………… ۵۲
۴-۳ )ویژگی های دسته MAIL/MIME …..ا………………………………………………………………………………………. ۵۳
۴-۴)ویژگی های دسته پروفایل کاربر ……………………………………………………………………………………………… ۵۴
۴-۵)ویژگی های دسته پروفایل سرور ……………………………………………………………………………………………. ۵۴
۴-۶) داده های آموزشی ابر ی تنیس بازی کردن ………………………………………………………………………………. ۵۶
۲-۱) خوشه ایجاد شده ابر ی 1v که بوسیله فرستادن email از 1v به 2v …..ا…………………………………………….. ۲۱
۲-۲)خوشه های بدست آمده از حساب کاربر …………………………………………………………………………………… ۲۲
۲-۳) تشخیص ویروس با تعداد دریافت کنندگان متغیر …………………………………………………………………………… ۲۵
۲-۴) فعالیت کاربر بر اساس مدل زیف ……………………………………………………………………………………………. ۲۷
۲-۵) تعداد دریافت کنند گان متمایز و تعداد email های همراه با attachment ….ا…………………………………………. ۲۸
۲-۶) هیستوگرام فعالیت کاربر، بدست آمده از دوره آموزش ………………………………………………………………….. ۳۰
۲-۷)هیستوگرام بدست آمده از فعالیت اخیر کاربر …………………………………………………………………………….. ۳۱
۲-۸) هیستوگرام p-value ….ا……………………………………………………………………………………………………. ۳۲
۲-۹) فاصله Hellinger مربوط به یک کاربر ………………………………………………………………………………………. ۳۳
۲-۱۰) سه نمودار مربوط به رفتار کاربر ………………………………………………………………………………………….. ۳۴
۲-۱۱) نرخ نتشخیص ویروس با تغییر در زمان انتشار ویروس ………………………………………………………………… ۳۵
۲-۱۲) نرخ تشخیص با سایز پنجره Hellinger متفاوت ……………………………………………………………………….. ۳۵
۲-۱۳) الگوریتم اسکن رو به جلو و رو به عقب ……………………………………………………………………………….. ۳۷
۲-۱۴) نتایج تولید شده بوسیله اسکن رو به جلو و رو به عقب …………………………………………………………….. ۳۸
۲-۱۵) توزیع تجمعی email های همراه با attachment ..ا………………………………………………………………….. ۴۰
۳-۱) نحوه ایجاد پروفایل کاربر ………………………………………………………………………………………………….. ۴۳
۳-۲) الگوریتم ایجاد گروه ………………………………………………………………………………………………………. ۴۵
۴-۱) نمای شماتیک مدل چند لایه …………………………………………………………………………………………. ۵۸
۴-۲) توزیع آنومالی مربوط به حمله DOS …ا………………………………………………………………………………… ۶۱
۴-۳) توزیع آنومالی مربوط به حمله SMTP …ا……………………………………………………………………………….. ۶۱

۴-۴)نرخ تشخیص حمله و نرخ false alarm ..ا……………………………………………………………………………….62

 

Abstract
Because of using so many use of Email, it`s suitable choice for viral propagation. viruse that propagate via Email will be spread very quick. For preventing propagation, using anti viruse is common way But problem anti viruses that face with is anti viruse can only detect known viruses and can`t detect unknown viruse.
For detecting unknown viruses ,new generation of software has been created that has been named intrusion detection system.This system detects unknown viruses with analyzing traffical behavior.


 


مقطع : کارشناسی ارشد

قیمت 25 هزار تومان

خرید فایل pdf به همراه فایلword

قیمت:35هزار تومان