مقدمه:

غالباﹰ email ها لبد يل استفاده زياد يک گزينه مناسب براي گسترش ويروس و کـرم هـا وبرنامه هاي مخرب مي باشند . معمولا ويروس هاي از اين طريق منتشر مي شوند بـا سـرعت بسـيار زيادي گسترش مي يابند.هنگامي که کاربر، email حاوي ويروس را باز مي کند ويروس شروع بـه فعاليت مي کند و به دنبال تکثير خودش مي باشد و اين کار را از طريق پيـ دا کـردن آدرسemail
قربانيان جديد انجام مي دهد. اين آدرس هـا معمـوﹰلا از منـابع مختلفـي بدسـت مـي آينـد . نظيـ ر addressbook اکانت کاربر، گوش کردن به لايه سوکت و يا آرشـ يو email هـا ي ذخيـ ره شـده درکامپيوترکاربر.
آنتي ويروس روش غالبي مي باشد کـه بـا اسـتفاده از آن مـي تـوان از گسـترش ويـ روس جلوگيري کرد . اما چالش اساسي در که مورد آنتي ويروس ها وجود دارد اين مـ ي باشـد کـه آنتـي ويروس ها قادر به تشخيص ويروس هاي ناشناخته نمي باشند. علت اين که آنتي ويروس ها قادر به تشخيص ويروس هـا ي ناشـناخته ن يسـتند ا يـ ن مـ ي باشد که مبتني بر الگو١ مي باشند يعني يک دي بتا يسـ ي از الگـو هـاي ويـ روس هـا ي ويـ روس هـا ي شناخته شده در آن وجود دارد. اگر يک email ويروسي باشد و الگوي مربوط بـه آن و يـ روس درون دي بتا يس آنتي ويروس موجود باشد ، ويروس تشخيص داده شده و ازفعاليت آن جلوگيري مي شـود. در صورت عدم وجود الگو، آنتي ويروس قادر به تشخيص ويروس و درنتيجـه قـادر بـه جلـوگيري از
فعاليت ويروس نخواهند بود.] [
اين مشکل را تا حدي مي توان با بروزرساني دوره اي دي بتا يس آنتي ويروس هـا بـر طـرفکرد اما مشکلي وجود دارد اين مي باشد از زماني که ويروس شروع به فعاليت مي کنـد و تـا زمـاني که الگوي ويروس شناسايي مي شود ، مدت زماني طول مي کشـد و در طـول ايـ ن مـدت و يـ روس بدون هيچ گونه مزاحمتي مي تواند فعاليتش را انجام دهد وآسيب هاي زيادي را بـه س يسـتم هـاي کامپيوتري تحميل مي کند. به عنوان مثال، ويروس sobig.F در اواخر تابستان سال 00 منتشـرشد. مدت زماني که طول کشيد الگوي اين ويروس شناسايي شود، اين ويروس خودش را توانست بـهطور گسترده اي بر روي اينترنت پخش کند و خسارت زيادي را تحميل کند.[7] به طور مشابه اين قضيه در مورد حفره هاي امنيتي ناشناخته اي که در سيستم ها وجـود
دارد صدق مي کند. يعني تا زماني که حفره هاي امنيتي ناشناخته اي در سيسـتم هـا وجـود دارد ،سيستم ها در برابر حملات ويروس ها آسيب پذير مي باشد. زماني اين حفره هاي امنيتـ ي مشـخصمي شوند که مورد حمله ويروس قرار گرفته و سيستم آسيب مي بيند و در مواجه با اين حفـره هـا ،برنامه هاي کمکي امنيتي٢نوشته مي شود و به سيستم اضافه مي شوند.
در پاسخ به مشکل ذکر شده ، عدم شناسايي ويروس هاي ناشناخته، سيستم هاي جديـ دي بوجود آمدند تحت عنوان سيستم هاي تشخيص حمله٣ ايجاد شدند کـه وظ يفـه آن هـا تشـخيص حمله هاي ويروسي ناشناخته مي باشد.

برای دانلود رایگان قسمت های بیشتراز فایل به انتهای مطلب مراجعه کنید

فهرست مطالب

چکيده ………………………………………………………………………………………………………………………………….. ١٢ مقدمه ………………………………………………………………………………………………………………………………….. ۱۳

فصل اول:کليات

– ۱ )هدف
هدف اصلي از اين تحقيق تشخيص حملـه و يـ روس هـا ي ناشـناخته بـه سـرويس دهنـده
email مي باشد. به دليل اين که email ها به دليل استفاده زياد، يک بستر مناسب بـرا ي گسـترش
ويروس مي باشند، با تشخيص حملات ويروسي بر روي سـرو يس دهنـده هـاي email مـ ي تـوان ازگسترش ويروس ها به سيستم هاي کامپيوتري جلوگيري کرد.[7]
۱ -۲)پيشينه تحقيق
لاو ين بار آزمايشگاه تشخيص حمله دانشـگاه کلمب يـ ا در سـال ۲۰۰۳ ابـزار ي تحـت عنـوانMET ابر ي تشخيص گسترش email هاي ويروسي ارائه کرد.سپس همـ ين مرکـز در همـان سـالابزار ديگري را به نام EMT ارائه کرد که بوسيله آن مي توانستند اکانـت هـاي کـاربران ي کـه آلـودهويروس مي باشد را تشخيص دهد
۱ -۳)روش کار و تحقيق
ايده اصلي در تشخيص حمله به سرويس دهندگان email اين مي باشد که رفتار سـرو يس
دهنده email در حالت عادي( مورد حمله قرار نگرفته شده) متفاوت از حالتي مي باشـد کـه مـوردحمله قرار گرفته است.
منظور از رفتار در پاراگراف بالا ميزان ترافيک (ميزان email هـا ي ارسـال ي يـ ا دريـ افتي )
سرويس دهنده email مي باشد . ابر ي تشخيص حملات( ويروس) ناشناخته ، رفتار سرويس دهندگان بـه دو دسـته عـادي و غير تقسيم مي گردد. حالت عادي، حالتي مي باشد کـه در آن سـرويس دهنـده مـورد حملـه قـرارنگرفته و ترافيک سرويس دهنده تغيير محسوسـ ي نداشـته و حالـت عـادي حـالت ي مـ ي باشـد کـهسرويس دهنده مورد حمله قرار گرفته است. بنابراين با تشـخ يص ايـ ن کـه رفتـار سـرويس دهنـدهغيرعادي مي باشد مي توان به وجود حمله را تشخيص داد.
روش هاي مختلفي ابر ي تشخيص رفتار غير عادي سرويس دهنده وجود دارد.کـه در ا يـ ن
تحقيق چهار روش کلي ابر ي تشخيص رفتار غير عادي سرويس دهنده بررسي شـده اسـت.در فصـلدوم روش هاي مبتني بر رفتار حساب کاربر بررسي مي شود که با استفاده از بررسي فعاليت کاربران سرويس دهنده email مي توان به غير عادي بودن وضعيت سرويس دهنده پست الکترونيکـ ي پـ ي برد.در فصل سوم با استفاده از روش تحليل رابطه بين آيتم ها الگوي رفتاري کاربر کشف مي شـود وبا استفاده از اين الگوي هاي بدست رفتار غير عادي تشـخ يص داده مـ ي شـود . در فصـل چهـارم بـ ا استفاده از روش چند لايه، وضعيت رفتار سرويس دهنده رفتار مي شود. ايـ ن روش از ويژگـ ي چنـدلايه و با استفاده از يک طبقه بندي کننده بيز و همبستگي بين لايه هـا ، رفتـار غيـ ر عـاد ي سـرورتشخيص داده مي شود.

۱-۱)هدف ………………………………………………………………………………………………………………………………. ۱۶
۱-۲)پيشنه تحقيق …………………………………………………………………………………………………………………….. ۱۶
۱-۳)روش کار و تحقيق ………………………………………………………………………………………………………………… ۱۶

فصل دوم: روش مبتني بر رفتارحساب کاربر

• توزيع تجمعي: با استفاده از اين مدل مي توان نرخ email هاي همراه باattachment را کـه يـ ک کاربر براي کاربران متمايز مي فرستد بدست آورد و هنگامي که يک ويروس حمله مـ ي کنـد از ا يـ ن رفتار آگاهي ندارد و رفتار متفاوتي از کاربر عادي از خود نشان مي دهد.
٢ -١- ١)ارتباط اجتماعي کاربر [3]
معموﹰلا يک کاربر در فرستادن email به اشخاص گوناگون از يکسري ارتباط اجتمـاع ي تبعيـ ت مـ ي کند و براي بيان کردن اين ارتباطات اجتماعي از ساختاري به نام خوشه٨ استفاده مي شود.
۲- ۱ -۱ -۱)خوشه کاربر ٩
خوشه به مجموعه دريافت کنندگان١٠ وفرستنده يک email گفته مي شود. به عنوان نمونه email اي که يک کارمند براي همکارانش در يک سازمان مي فرستد، گيرندگان اين email و فرستنده اعضاي يـ ک خوشه تشخيص مي دهند .با توجه به اين که يک کاربر داراي سطوح مختلفي از روابط اجتماعي مـ ي باشـد، انتظار مي رود که خوشه هاي مختلفي ابر ي آن وجود داشته باشد و همچنين به دليل ايـ ن کـه بـين سـطوحمختلف روابط اجتماعي همپوشاني وجود دارد بين اعضاي اين خوشه ها همپوشاني به وجود مي آيد. به عنوان مثال،يک کارمند يکسري email هاي کاري را که براي همکارانش، و يکسري email هاي خصوصي را براي خانواده اش مي فرستد. باتوجه به اين دو نوع email ارسالي ،دو خوشه را مي توان براي اين کاربر متصور شد.
ارتباطات email کاربران را مي توان به صورت يک گراف جهت دارG(V,E) در نظر گرفت که V
مجموعه گره هاي متناظر با اکانت هاي email کاربران مي باشد و E مجموعه يال ها، که متناظر با email هاي فرستاده شده از يک کاربر به ديگر کاربران مي باشد. يال جهت دار 12e هنگامي ايجاد مي شود اگر و تنها اگر email اي از اکانت 1V به اکانت 2V فرستاده شود. که 1V و 2V متعلق به مجموعه V مي باشد.
شکل(۲ -۱)، خوشه ايجاد شده براي 1v که بوسيله فرستادن email از 1v به 2v به کمک مدل گراف مي توان دريافت که خوشه هاي اجتماعي، الگوهاي مشخصي در حساب Email يک کاربر مي باشد و به عنوان رفتار عادي اکانت email يک کاربر محسوب مي شود.
عمل فرستادن email مانند هر تراکنش ديگري که بر روي وب انجام مي گيرد، مجموعه اي از
آيتم ها مي باشند که اين آيتم ها مجموعه اي از حساب هاي email که شامل آدرس فرستنده (درفيلد From) و آدرس دريافت کننده يا دريافت کنندگان (فيلدهاي BCC ،CC ، TO) مي باشد. با تحليل هاي آيتم ها مي توان قواعد رابطه بين آيتم ها را بدست آورد که روابط به صورت يک خوشه نشان داده مي شوند.
يــــــــــک خوشــــــــــه کــــــــــاربر بــــــــــه عنــــــــــوان مجموعــــــــــه اي از دريافت کنندگان که در خوشه هاي ديگر عضو نيستند تعريف مي شود. به طور معمول از آرشيو email يـ ک کاربر، تعداد خوشه هاي کمي مي توان بدست آورد اما تعداد اعضاي اين خوشه زياد مي باشد.به عنوان مثـاليـــک کـــاربر در پوشـــه email فرســــتاده شـــده خــــود داراي ليســـت دريافـــت کننــــدگان {A,B,D}و {A,B,C} مي باشد. خوشه هاي کاربر مربوط به اين کـاربر {A,B,C},{A,B,D},{A,B,C}مي باشد. نکته مهم در اين خوشه ها اين است که اين دو خوشه زير مجموعه هم نمي باشند. ايـ ن خوشـه هـا رامي توان به صورت تحليل offline بر روي پروفايل(تاريخچه فعاليت) يک کاربر در طـ ي دوره زمـان ي بدسـتآورد.
۲- ۱ -۱ -۱ -۱)تشخيص ويروس
يک ويروس بدليل اين که الگوي ارتباط بين کاربران را نمـ ي دانـد ، يـ ک email را بـه افـرادي کـهمتعلق به خوشه هاي مختلف هستند مي فرستد يعني الگويي که ويروس در فرستادن email ها به کـار مـي برد با هيچ يک از اين خوشه ها مطابقت ندارد و نقض خوشه اتفاق مي افتد. نقض خوشه عبارت است از حالتي که دريافت کنندگان يک email که با ساختار خوشه هاي کـاربرسازگاري نداشته باشند يا به عبارت ديگر سـاخ تار خوشـه هنگـامي نقـض مـي شـود کـه ليسـت در يافـتکنندگان email زير مجموعه هيچ يک از خوشه هاي متعلق به اکانت کاربر نباشد. اين نقض کـردن سـاختاراين امکان تشخيص حمله را مي دهد. در مثال شکل (۲-۲) اگـر مجموعـه دريافـت کننـدگانemail يـ ک کاربر {A,B,E} باشد به دليل اين که مجموعه دريافت کنندگان، زير مجموعـه هـيچ يـ ک از خوشـه نمـي باشد، يک نقض خوشه رخ داده است و اين email يک ويروس مي باشد. پس از بدست آوردن اين خوشه ها، براي هر email ارسـال ي، چـک مـي شـود کـه ليسـت در يافـت ها را نقض مي کند يا خير.
نکته اي که قابل توجه اين است که هنگامي که کاربر يک email را بـرا ي تمـام ي افـراد ي کـه درaddress book هستند مي فرستد، کليه خوشه ها فقط و فقط به يک خوشه تبديل مي شـود و تـا زمـاني که کاربر يک email به آدرس جديد نفرستد، خوشه جديدي ايجاد نمي گردد و مشکلي ديگـر ي کـه وجـوددارد اين است که هنگامي که يک email به يک آدرس جديد که در خوشه وجود ندارد بفرستد، ايـ ن روش اين email را ويروسي تشخيص مي دهد.
از طرف ديگر ،در اين حالت به دليل اين که تنها يک خوشه وجود دارد، امکان بوجود آمـدن نقـضدر ساختار وجود ندارد در نتيجه نمي توان ويروس را تشخيص داد اما در عمل اين email هـا درصـد بسـيار ناچيزي از کل email هاي يک کاربر را تشکيل مي دهند و در مواقع بسيار نادري رخ مـ ي دهـد . بـه عنـواننمونه هنگامي که يک کاربر مي خواهد آدرس email جديدش را به اطلاع ديگر کاربران برساند، يـ ک email .مي کند broadcast رادر جدول(۲-۲) نتايج حاصل از بررسي الگوي ارتباطي ۹ کاربر نشان داده شـده اسـت. نتـا يج نشـانمي دهد که يک کاربر يک email را براي کمتر از ۱۰% که در address book آن کاربر هستند مي فرسـتد
که به اين معناست که اين کاربر بـا تعـداد کمـي از کـار بـراي ارتبـاط خ يلـ ي نزديکـ ي دارد و email هـا ي broadcast شده درصد خيلي کمي از email هاي يک کاربر را تشخيص مي دهد.

۲-۱ ) تقسيم بندي روش هاي مبتني بر رفتار ……………………………………………………………………………………… ١٩
٢-١- ١) ارتباط اجتماعي کاربر ………………………………………………………………………………………………………… ٢٠
٢-١- ١-١)خوشه کاربر ………………………………………………………………………………………………………………….. ٢٠
۲-۱- ۱-۱-۱)تشخيص ويروس ………………………………………………………………………………………………………….. ۲۲
۲-۱- ۲)پروفايل ناپايدار کاربران …………………………………………………………………………………………………………. ۲۵
٢-١- ٢-١)پروفايل کاربر ………………………………………………………………………………………………………………….. ٢٦
٢-١- ٢-٢)تشخيص ويروس …………………………………………………………………………………………………………….. ٢٩
٢-١- ٢-٣)تست کاي – دو ……………………………………………………………………………………………………………… ٢٩
٢-١- ٢-٣-١)رابطه ي کاي-دو ………………………………………………………………………………………………………….. ٣١
٢-١- ٢-٤-١)عملکرد فاصله Hellinger بر روي حمله ويروس ……………………………………………………………………….. ۳۴
٢-١- ٣)ترکيب مدل خوشه کاربر و فاصله Hellinger …ا…………………………………………………………………………….. ۳۵
٢-١- ٣-١)الگوريتم اسکن رو به جلو و رو به عقب ………………………………………………………………………………….. ٣٦
۲-۱- ۴)توزيع تجمعي attachment ها ………………………………………………………………………………………………. ۳۹

فصل سوم: روش تحليل رابطه بين آيتم ها

ابر ي ايجاد پروفايل، رويداد فرستادن email به عنوان يک شيء و دريافت کنندگان email
به عنوان ويژگي هاي شيء در نظر گرفته مي شود . که اين ويژگي ها داراي دو نوع اطلاعات مي باشند. اطلاعات spatial و اطلاعات موقتي . اطلاعات spatial شامل ليست دريافت کنندگان email مي باشد و اطلاعات موقتي شامل ساعت و تاريخ فرستادن email مي باشد. به عنوان مثال اگر کاربري به نام X يک email را به چهار آدرس A,B,C وD در روز بيستم آگوست در ساعت 13:30:30 بفرستد ، مجموع آدرس دريافت کنندگان ،اطلاعات از نوع spaitial و تاريخ بيستم آگوست و ساعت ۳۰:۳۰:۱۳ اطلاعات موقتي را تشکيل مي دهند.
مجموع اطلاعات نوع spaitial که از رويداد هاي فرستادن email در طي يک دوره
زماني حاصل مي شود منبع بدست آوردن پروفايل يا الگوي رفتار کاربر محسوب مي شود.
.۳ -۱- ۱)الگوي رفتار کاربر الگوي رفتاري يک کاربر (ليست دريافت کنندگان ) اطلاعات از نوع spatial مي باشد که اين الگو را مي توان بر اساس ليست دريافت کنندگان کاربر بدست آورد. در مثال فوق ، چهار دريافت کننده A,B,C,D مشخص کننده يک الگوي فرستادن email مي باشد. الگوي فرستادن email مجموعه اي از دريافت کنند گان مي باشد که از رويداد هاي
فرستادن email استخراج مي شود.
ساختن پروفايل رفتاري کاربر شامل دو مرحله مي باشد:
۱- تحليل گروهي
۲-تحليل وابستگي
منظور از گروه در مرحله يک، مجموعه اي از در يافت کنندگان مي باشد که بين آن ها
رابطه اي حاکم مي باشد. يعني مجموعه اي از دريافت کنندگان که باهم در يک رخداد فرستادن email باهم ظاهر مي شوند.در مرحله دوم وابستگي بين عناصر گروه هاي بدست آمده ،کشف مي شود.
۳ -۱ -۲)تحليل گروهي
ابر ي تحليل گروهي بايد يک سري نماد تعريف کرد که اين نماد ها شامل r، يک دريافت
کننده و {R ={r1,r2 ,…,rn مجموعه دريافت کنندگان email يک کاربر مي باشد.e مجموعه
اي از چند دريافت کننده و الگوي فرستادن email کاربر مي باشد. {E ={e1,e2 ,…,em مجموعه اي از الگو ها مي باشد که که از فرستادن email هاي کاربر طي يک دوره زماني بدست مي آيد.
g نشان دهنده گروه، که مجموعه اي از چند دريافت کننده مي باشد
و {G ={g1, g2 ,…,gk مجموعه اي از گروه ها مي باشد. مجموعه G داراي دو نوع ويژگي عمومي و احتصاصي مي باشد و همچنين يک ويژگي ارتباط گروهي که با استفاده از آن مي توان تشخيص داد که آيا رفتار فرستادن email عادي مي باشد يا خير. ۱- ويژگي عمومي
Υ g =Υe = R
۲-ويژگي اختصاصي
∀i ≠ j gi ∩ g j =o
۳-ويژگي اتباط گروهي
∀e∈E ∃g ⇒ e ⊂ g
ويژگي عمومي بيان کننده اين نکته مي باشد. که مجموعه g شامل تمامي دريافت کنندگاني مي باشد که در الگوي فرستادن email وجود دارد.
ويژگي اختصاصي بيان کننده اين قضيه مي باشد که هيج دريافت کننده اي متعلق به دو
گروه نمي باشد و ويژگي ارتباط گروهي ،ويژگي مهمي مي باشد که از آن براي ارزيابي رفتار کاربر استفاده مي شود و اين قضيه را بيان مي کند که مجموعه دريافت کنند گان يک email متعلق به يک گروه مي باشند. در جدول شماره(۳- ۱) الگو هاي فرستادن email مربوط به يک کاربر آمده است.

۳-۱)ايجاد پروفايل کاربر ……………………………………………………………………………………………………………….. ۴۲
.۳-۱-۱)الگوي رفتار کاربر ……………………………………………………………………………………………………………… ۴۲
۳-۱- ۲)تحليل گروهي ………………………………………………………………………………………………………………… ۴۳
۳-۱- ۳)الگوريتم ايجاد گروه …………………………………………………………………………………………………………… ۴۵
۳-۱- ۴)تحليل رابطه ي وابستگي …………………………………………………………………………………………………… ۴۶
۳-۲)تشخيص رفتار غيرعادي ………………………………………………………………………………………………………… ۴۸

فصل چهارم: روش چند لايه

۴-۱)دسته بندي ويژگي ها ………………………………………………………………………………………………………….. ۵۰
۴-۲)ويژگي چند لايه………………………………………………………………………………………………………………….. ۵۱
۴-۲- ۱) ويژگي هاي دسته TCP/IP …..ا…………………………………………………………………………………………… ۵۱
۴-۲- ۲) ويژگي هاي دسته SMTP …ا……………………………………………………………………………………………….. ۵۲
۴-۲- ۴) ويژگي دسته پروفايل کاربر ………………………………………………………………………………………………….. ۵۳
۴-۲- ۵) ويژگي هاي دسته پروفايل سرور …………………………………………………………………………………………… ۵۴
۴-۳)تشخيص حمله ……………………………………………………………………………………………………………………. ۵۴
۴-۳- ۱)طبقه بندي کننده بيز …………………………………………………………………………………………………………. ۵۴
۴-۳- ۲)طبقه بندي کننده بيز براي تشخيص حمله ……………………………………………………………………………….. ۵۵
۴-۳- ۳) همبستگي بين لايه ها …………………………………………………………………………………………………….. ۵۸
۴-۳- ۳) قوانين بين لايه ها …………………………………………………………………………………………………………. ۵۹

برای دانلود رایگان قسمت های بیشتراز فایل به انتهای مطلب مراجعه کنید

فصل پنجم: نتيجه گيري وپيشنهاد

۵-۱)نتيجه گيري …………………………………………………………………………………………………………………….. ۶۴
۵-۲)پيشنهاد ………………………………………………………………………………………………………………………… ۶۵
فهرست منابع لاتين ………………………………………………………………………………………………………………… ۶۷ سايت های اطلاع رسانی ………………………………………………………………………………………………………….. ۶۷
۲-۱) کاربرد هاي روش مبتني بر رفتار کاربر……………………………………………………………………………………….. ۱۹
۲-۲) ليست دريافت کنندگان email هاي مربوط به نه کاربر ……………………………………………………………………. ۲۴
۳-۱) ليست دريافت کنندگان يک کاربر ……………………………………………………………………………………………. ۴۴
۳-۲) نتايج آناليز گروهي ……………………………………………………………………………………………………………. ۴۶
۳-۳) تناظر بين رويداد هاي فرستادن email و گروه هاي بدست آمده ……………………………………………………….. ۴۶
۳-۴)رفتار بدست آمده از يک کاربر ………………………………………………………………………………………………… ۴۷
۴-۱) ويژگي هاي دسته TCP/IP ……ا……………………………………………………………………………………………. ۵۲
۴-۲)ويژگي هاي دسته SMTP …….ا……………………………………………………………………………………………… ۵۲
۴-۳ )ويژگي هاي دسته MAIL/MIME …..ا………………………………………………………………………………………. ۵۳
۴-۴)ويژگي هاي دسته پروفايل کاربر ……………………………………………………………………………………………… ۵۴
۴-۵)ويژگي هاي دسته پروفايل سرور ……………………………………………………………………………………………. ۵۴
۴-۶) داده هاي آموزشي ابر ي تنيس بازي کردن ………………………………………………………………………………. ۵۶
۲-۱) خوشه ايجاد شده ابر ي 1v که بوسيله فرستادن email از 1v به 2v …..ا…………………………………………….. ۲۱
۲-۲)خوشه هاي بدست آمده از حساب کاربر …………………………………………………………………………………… ۲۲
۲-۳) تشخيص ويروس با تعداد دريافت کنندگان متغير …………………………………………………………………………… ۲۵
۲-۴) فعاليت کاربر بر اساس مدل زيف ……………………………………………………………………………………………. ۲۷
۲-۵) تعداد دريافت کنند گان متمايز و تعداد email هاي همراه با attachment ….ا…………………………………………. ۲۸
۲-۶) هيستوگرام فعاليت کاربر، بدست آمده از دوره آموزش ………………………………………………………………….. ۳۰
۲-۷)هيستوگرام بدست آمده از فعاليت اخير کاربر …………………………………………………………………………….. ۳۱
۲-۸) هيستوگرام p-value ….ا……………………………………………………………………………………………………. ۳۲
۲-۹) فاصله Hellinger مربوط به يک کاربر ………………………………………………………………………………………. ۳۳
۲-۱۰) سه نمودار مربوط به رفتار کاربر ………………………………………………………………………………………….. ۳۴
۲-۱۱) نرخ نتشخيص ويروس با تغيير در زمان انتشار ويروس ………………………………………………………………… ۳۵
۲-۱۲) نرخ تشخيص با سايز پنجره Hellinger متفاوت ……………………………………………………………………….. ۳۵
۲-۱۳) الگوريتم اسکن رو به جلو و رو به عقب ……………………………………………………………………………….. ۳۷
۲-۱۴) نتايج توليد شده بوسيله اسکن رو به جلو و رو به عقب …………………………………………………………….. ۳۸
۲-۱۵) توزيع تجمعي email هاي همراه با attachment ..ا………………………………………………………………….. ۴۰
۳-۱) نحوه ايجاد پروفايل کاربر ………………………………………………………………………………………………….. ۴۳
۳-۲) الگوريتم ايجاد گروه ………………………………………………………………………………………………………. ۴۵
۴-۱) نماي شماتيک مدل چند لايه …………………………………………………………………………………………. ۵۸
۴-۲) توزيع آنومالي مربوط به حمله DOS …ا………………………………………………………………………………… ۶۱
۴-۳) توزيع آنومالي مربوط به حمله SMTP …ا……………………………………………………………………………….. ۶۱

۴-۴)نرخ تشخيص حمله و نرخ false alarm ..ا……………………………………………………………………………….62

 

Abstract
Because of using so many use of Email, it`s suitable choice for viral propagation. viruse that propagate via Email will be spread very quick. For preventing propagation, using anti viruse is common way But problem anti viruses that face with is anti viruse can only detect known viruses and can`t detect unknown viruse.
For detecting unknown viruses ,new generation of software has been created that has been named intrusion detection system.This system detects unknown viruses with analyzing traffical behavior.


 


مقطع : کارشناسی ارشد

قیمت 25 هزار تومان

خرید فایل pdf به همراه فایلword

قیمت:35هزار تومان