فهرست مطالب

فصل اول  کلیات

استفاده روزافزون افراد، سازمان ها، ارگان های دولتی و حتی زیرساخت های حیاتی مانند نیروگاه ها، از شبکه های کامپیوتری و اینترنت ، سبب شده تا بسیاری از تعاملات فردی و مالی وابسته به شبکه های کامپیوتری باشد. از سویی دیگر، این مسئله شبکه های کامپیوتری و کاربران آنها را به طمعه هایی جهت افراد سودجو تبدیل کرده است. بسیاری از افراد با نفوذ در شبکه و سرقت اطلاعات فردی و یا مالی، خسارات زیادی را به افراد، سازمانها و حتی دولت ها وارد کرده اند. به طور کلی می¬توان واژه نفوذ را به فعالیت¬هایی اطلاق کرد که توسط نفوذگر به منظور ورود به سیستم اطلاعاتی جهت خواندن، آسیب رساندن و سرقت اطلاعات صورت می گیرد. بر اساس بسیاری از برآوردها، درصد بالایی از نفوذهای انجام شده -بیش از 85 درصد- از طرف کاربران داخلی انجام می¬شود و مابقی از خارج از محیط صورت می گیرد[5] . از این رو هیچ فرد و یا سازمانی که با سیستم¬های اطلاعاتی سر و کار دارد، نمی تواند از این قبیل حوادث امنیتی مصون باشد. در نتیجه سیستم های شناسایی نفوذ تبدیل به بخش جدایی ناپذیر از ساختار امنیتی غالب سیستم های اطلاعاتی گردیده اند[17]. سیستم شناسایی نفوذ، تنها سیستمی است که به شکل فعال قادر به شناسایی استفاده¬های غیرمجاز و نیز سوءاستفاده از سیستم¬های اطلاعاتی توسط حمله¬گرهای داخلی و خارجی می¬باشد. سیستم شناسایی نفوذ اطلاعات مرتبط با منابع مختلف در شبکه های کامپیوتری را جمع آوری و به منظور پی بردن به فعالیت های نفوذی تحلیل می کنند. غالبا فعالیت های نفوذی به منظور دستیابی، دستکاری و ایجاد اختلال در سیستم های کامپیوتری صورت می گیرد. در نتیجه این سیستم یکی از اجزای بسیار ضروری در حفظ امنیت ساختارهای اطلاعاتی است و می¬تواند در کنار دیوار آتش به حفظ امنیت سیستم اطلاعاتی کمک کند. به عنوان نمونه هایی از سیستم شناسایی نفوذ می توان به سیستم های تشخیص نفوذ تحت شبکه، دیوارهای آتش تحت وب، سیستم شناسایی بدافزار botnet و … اشاره کرد. به علاوه سیستم شناسایی نفوذ در راستای حفظ سیستم اطلاعاتی از حملات خطرناک، قادر است تا دیوار آتش را به گونه ای مناسب پیکربندی کند.

1-2. اهدف تحقیق

امروزه امنیت شبکه¬های اطلاعاتی، یکی از مسائل چالش برانگیز در حوزه علوم کامپیوتری می¬باشد. دامنه حملات به شبکه¬های کامپیوتری هر روز گسترده¬تر می¬شود؛ اما مسئولیت شناسایی و مسدود کردن حملات در کاربران نهایی و سرویس¬دهندگان اینترنت به عهده مدیران این سیستم¬ها واگذار شده است. وجود نقاط آسیب¬پذیر در سیستم¬های اطلاعاتی به همراه رشد انفجاری انواع مختلف بدافزار، باعث شده تا روند به¬روز نگه¬داشتن سیستم¬های شناسایی نفوذ مبتنی بر امضا با دشواری¬هایی مواجه گردد. در نتیجه این سیستم¬ها قادر به شناسایی حملات نوظهور نخواهند بود. سیستم¬های شناسایی نفوذ مبتنی بر ناهنجاری نیز علی¬رغم قابلیت تطبیق¬پذیری¬شان و توانمندی در شناسایی حملات نوظهور, بسیار وابسته به تعریفی که از مدل نرمال سیستم ارائه می¬شود، هستند.
طی ¬چند سال اخیر، شبکه¬¬های اجتماعی تبدیل به قطب مرکزی اطلاعات و ارتباطات گردیده و به شکل روزافزون مورد توجه و حمله قرار گرفته¬اند. این مسئله سبب شده تا تشخیص نفوذگران از کاربران عادی، تبدیل به یکی از مسائل چالش¬برانگیز در رابطه با شبکه-های اجتماعی گردد. در تحقیق پیش رو بر اساس رویکرد مبتنی بر ناهنجاری، به بررسی چگونگی شناسایی نفوذگران در شبکه¬های اجتماعی خواهیم پرداخت. تمرکز اصلی ما بر این مطلب استوار است که قادر باشیم به صورت پویا و با کمترین پیچیدگی زمان و فضا، نفوذگر را شناسایی کرده و به شکل فعال، نسبت به وی عکس العمل نشان دهیم.
یکی از ویژگی¬های شبکه¬های اجتماعی این است که الگوی ارتباطی و در نتیجه الگوی رفتار اجتماعی کاربران شبکه را به وضوح انعکاس می¬دهند [5]. به همین دلیل برای ساخت مدل رفتار نرمال در شبکه و شناسایی انحرافات از این مدل نرمال جهت شناسایی رفتار نابهنجار کاربران شبکه، تمرکز ما در این تحقیق بر شناسایی نفوذگران بر مبنای رفتار آنها در شبکه¬های اجتماعی خواهد بود. برای شناسایی نفوذگران در یک شبکه، مفهوم متفاوتی از نفوذ، مبنای کار قرار داده شده است: “نفوذ، ورود یک فرد به اجتماعی است که به آن تعلق ندارد”. بر اساس این مفهوم می¬بایست ابتدا گراف ارتباطات شبکه را شکل داده، اجتماعات را در گراف تعیین کرد و در ادامه تعلق داشتن و یا نداشتن یک فرد به یک اجتماع را استخراج کرد.
برای شناسایی الگوهای ارتباطی کاربران، از داده¬های جریان شبکه که شامل جریان داده میان میزبان¬های نهایی که توسط آدرس¬های IP نشان داده می¬شوند، می¬توان استفاده کرد. همان طور که می¬دانیم بسیاری از روش¬های تشخیص نفوذ، قادر نیستند تنها با داشتن این اطلاعات ساده کار کنند و نیاز به ویژگی¬های متعددی در مورد ارتباطات کاربر در شبکه دارند.
یکی از دلایلی که سبب شده تا در این تحقیق توجه خود را معطوف به مجموعه داده¬ جریان شبکه کنیم، این است که این نوع مجموعه داده دارای تعداد ویژگی کمتری نسبت به مجموعه داده¬های متداول -که در رویکرد مبتنی بر ناهنجاری استفاده می¬شوند- می¬باشند؛ در نتیجه می¬تواند در رسیدن به هدف این تحقیق که همان استفاده از سیستم در کوتاهترین زمان است به ما کمک کند. این نوع مجموعه داده بر مبنای اطلاعات ضبط شده دیواره¬های آتش، از فراهم کننده¬های سرویس اینترنتی جمع آوری می¬شوند. همان طور که ذکر شد، مجموعه داده¬های متداول جهت تحقیق در زمینه سیستم¬های شناسایی نفوذ مبتنی بر ناهنجاری – مانند KDD99- دارای تعداد ویژگی بیشتری نسبت به داده¬های جریان شبکه هستند. علاوه بر این، با توجه به ظهور روش¬های نفوذ و بدافزارهای جدید، بدیهی است که استفاده از مجموعه داده¬هایی که مربوط به سال¬های اخیر باشد را می¬توان در اولویت کار قرار داده شود.
1-1. مقدمه………………………………………………………………………….2
1-2. اهدف تحقیق…………………………………………………………………. 3
1-3. تعاریف اولیه…………………………………………………………………… 4
1-3-1. نفوذ………………………………………………………………………… 5
1-3-2. نفوذگر……………………………………………………………………… 5
1-3-3. سیستم های شناسایی نفوذ…………………………………………… 6
1-3-4. سیستم های پیشگیری از نفوذ………………………………………….. 6
1-3-5. دیوار آتش………………………………………………………………….. 7
1-4. چالشهای مسئله…………………………………………………………….. 8
1-5. نگاهی به فصول پایان نامه………………………………………………… 10

برای دانلود رایگان قسمت های بیشتراز فایل به انتهای مطلب مراجعه کنید

فصل دوم مبانی نظری تحقیق

همانطور که در فصل قبل گفته شد، توانایی سیستمهای تشخیص نفوذ در شناسایی فعالیت های نفوذی چه از درون و چه از بیرون از سیستم اطلاعاتی، سبب شده تا این سیستم ها از اجزای بسیار ضروری در حفظ امنیت ساختارهای اطلاعاتی گردند. سیستم های تشخیص نفوذ دارای سه عملکرد اصلی می باشند:
 نظارت و ارزیابی
 شناسایی نفوذ
 تعیین میزان خطر و اعلام آن
بر مبنای این که سیستم شناسایی نفوذ از چه روشی برای انجام عملکرد های فوق استفاده می کند و حوزه تحت بررسی آن، می توان این سیستم ها را دسته بندی کرد. در بخش 2-2 به بررسی معیارهایی می پردازیم که به ما در انجام این دسته بندی کمک می کنند. در این تحقیق تمرکز اصلی بر شناسایی نفوذگران در شبکه های کامپیوتری می باشد. در نتیجه در بخش 2-3 به معرفی جریان شبکه و بررسی بسته های داده می پردازیم. در ادامه جهت آشنایی بیشتر با فعالیت های نفوذگران در شبکه، در بخش 2-4 به بررسی انواع نفوذ و حمله در شبکه های کامپیوتری می پردازیم.

2-2. طبقه بندی سیستم های تشخیص نفوذ
همان طور که گفته شد، یک سیستم شناسایی نفوذ با نظارت بر فعالیت های کامپیوتری موجود در محیط و تحلیل آن، قادر به شناسایی فعالیت¬های خبیثانه و آگاه کردن مدیر سیستم و یا مقابله با حمله می¬باشد. این سیستم¬ها را بر اساس معیارهای متفاوتی می¬توان دسته¬بندی کرد [18]:
2-2-1. منبع اطلاعاتی
بر مبنای محل قرارگیری سیستم تشخیص نفوذ و نوع داده ای که مورد نظارت و بررسی قرار می گیرد، سیستم تشخیص نفوذ را می توان به دو گروه عمده تقسیم کرد:
سیستم تشخیص نفوذ مبتنی بر میزبان
چنانچه اطلاعات مورد بررسی و تحلیل مرتبط با فعالیت¬های یک سیستم کامپیوتری -مانند اطلاعات برنامه¬ها، منابع و یا رویدادها- باشد، در این حالت سیستم شناسایی نفوذ مبتنی بر میزبان نامیده می شود. این سیستم ها در قالب یک نرم افزار بر روی سیستم عامل میزبان مورد نظر نصب شده و شناسایی را انجام می دهد. این سیستم ها معمولا دارای یک سرویس می‌باشند که در پس زمینه فعالیت عادی سیستم عامل انجام می‌شود. عملکرد سیستم های مبتنی بر میزبان بر مبنای پایش لاگ‌های ماشین، رویداد‌های سیستمی، فعل و انفعالات نرم افزارهای کاربردی و ارتباطات میزبان در شبکه می باشد. این سیستم معمولا در میان سرور‌هایی که دارای کانال‌های رمزنگاری شده هستند و یا دارای ارتباط با سایر سرور‌ها هستند، مورد استفاده قرار می‌گیرند.
دو مشکل اساسی در سیستم های شناسایی مبتنی بر میزبان وجود دارد که به سادگی قابل برطرف کردن نیستند. اولین مشکل، وابستگی به ساختار سیستم میزبان است، اگر سیستم عامل میزبان شما دچار تغییرات ناگهانی در تنظیمات شود، منابعی که سیستم شناسایی نفوذ از آن‌ها جهت شناسایی استفاده می‌کند دچار تغییرات می شود. در نتیجه نتایج تولید شده توسط سیستم دارای دقت نمی‌باشند. این باعث می‌شود که سیستم شناسایی نفوذ دچار اختلال شده و تصمیماتی که اتخاذ می‌کند صحیح نباشند. مشکل دیگری که در سیستم های مبتنی بر میزبان وجود دارد این است که بایستی برای تک تک سیستم‌هایی که نیاز به این سیستم دارند نصب و راه اندازی شود، همین موضوع می‌تواند مشکلات مدیریتی و دردسرهای نگهداری خاص خود را برای مدیران سیستم ایجاد کند.
یکی از مهم‌ترین و شاید بهترین قابلیت‌های سیستم های مبتنی بر میزبان، قابلیت گرفتن کد ایمنی از فایل‌های موجود بر روی سیستم است. این قابلیت به مدیر سیستم این امکان را می‌دهد که متوجه شود که آیا فایل‌های روی سیستم دستکاری شده‌اند یا خیر. در این حالت بازگردانی اطلاعات کار نسبتا ساده‌ای خواهد بود زیرا مدیر سیستم می‌داند که کدامیک از فایل‌ها دچار دستکاری و تغییر شده‌اند. به خاطر داشته باشید که سیستم‌های تشخیص نفوذ تحت میزبان دارای واکنش غیرفعال هستند.

سیستم تشخیص نفوذ مبتنی بر شبکه
در صورتی که سیستم شناسایی نفوذ در بخشی از شبکه نصب گردد و از ترافیک شبکه جهت شناسایی نفوذ استفاده کند، آن¬گاه سیستم شناسایی نفوذ مبتنی بر شبکه نامیده می¬شود. سیستم های تشخیص نفوذ مبتنی بر شبکه نیاز به کلمه ی عبور برای برنامه های کاربردی، حقوق مربوط به سیستم عامل شبکه یا اتصالات مربوط به سیستم در هنگام اجرای نرم افزار ندارد. همچنین از آنجا که این سیستم ها در سطح لایه ی شبکه عمل می کنند، به سیستم عامل وابستگی ندارند. ضمناً هیچگونه سربار و تغییری روی سرویس دهنده ها و ایستگاه های کاری به وجود نمی آورند، چرا که برای این سیستم های تشخیص نفوذ نیازی به نصب ابزارهای اضافی نیست .عمدتا سیستم‌های تشخیص نفوذ تحت شبکه دارای واکنش فعال هستند.
سیستم های تشخیص نفوذ مبتنی بر شبکه از دو بخش ناظر و عامل تشکیل شده اند. ناظر قطعات و یا ترافیک شبکه را به منظور یافتن بسته های اطلاعاتی مشکوک بررسی می کند. عامل نرم افزاری است که معمولاً به طور جداگانه روی هر یک از کامپیوتر های مورد نیاز قرار می گیرد و نقش ارسال اطلاعات را به صورت بازخوردی به ناظر برعهده دارد. همچنین ممکن است بخش دیگری هم به نام کنسول مدیریت وجود داشته باشد که به شکلی مطمئن (با اعتبار سنجی و رمزنگاری) به ناظر متصل می شود و از آن گزارش دریافت می کند و نیز به تبادل اطلاعات مربوط به تنظیم پیکربندی سیستم می پردازد. این سیستم های تشخیص نفوذ با استفاده از تکنیک هایی مانند شنود بسته ها ، داده ها را از درون بسته های اطلاعاتی شبکه که در حال جریان و نقل و انتقال در شبکه می باشند، استخراج می کنند.
سیستم های شناسایی مبتنی بر شبکه دارای یک سری معایب هستند. به عنوان مثال به دلیل جمع آوری و تجزیه و تحلیل بسته های شبکه، در شبکه هایی با سرعت بالا دچار مشکل شده و قادر به عملکرد صحیح نیستند. به عنوان مثالی دیگر، چنانچه ترافیک شبکه رمز شده باشد، سیستم شناسایی نمی تواند حمله را تشخیص دهد. به طور کلی سیستم های شناسایی مبتنی بر شبکه، در شبکه های سوییچ شده دچار مشکل هستند.
بسته های داده در شبکه دارای دو بخش عنوان و محتوا می باشند. برخی سیستم شناسایی نفوذ تنها از اطلاعات موجود در قسمت عنوان استفاده می کنند که با نام روش های مبتنی بر جریان شناخته می شوند. برخی دیگر از تمامی محتوای بسته اطلاعاتی استفاده می کنند که با نام روش های مبتنی بر بسته شناخته می شوند. این دو روش در فصل 3 به تفصیل بررسی می شوند.

2-1. مقدمه………………………………………………………………………… 12
2-2. طبقه بندی سیستم های تشخیص نفوذ…………………………………. 13
2-2-1. منبع اطلاعاتی…………………………………………………………….. 13
2-2-1. روش تحلیل……………………………………………………………….. 15
2-2-2. نحوه نظارت………………………………………………………………… 17
2-2-3. روش پاسخگویی…………………………………………………………… 17
2-3. جریان شبکه…………………………………………………………………. 20
2-3-1. تعریف جریان شبکه………………………………………………………. 20
2-4. انواع حملات…………………………………………………………………. 22

فصل سوم پیشینه تحقیق

همان طور که در فصل 2 ذکر شد، سیستم شناسایی نفوذ مبتنی بر شبکه از دو رویکرد کلی جهت انجام شناسایی استفاده می کنند. این دو رویکرد بر مبنای این که ترافیک عبوری در شبکه چگونه بررسی می شود، شکل گرفته است. در بخش 3-2 به تفصیل به معرفی و بررسی این دو رویکرد می پردازیم.
در بخش 3-3 روش هایی که تا کنون از این رویکردها استفاده کرده اند بررسی می شوند.
در بخش 3-3 به بررسی داده های مورد استفاده در مبحث شناسایی نفوذ می پردازیم.
3-2. روش مبتنی بر جریان در برابر روش مبتنی بر محتوا
همان طور که در فصل پیشین دیدیم، سیستم های شناسایی نفوذ مبتنی بر شبکه از دو رویکرد کلی جهت شناسایی ترافیک مشکوک استفاده می کنند. هر بسته داده عبوری در شبکه دارای دو بخش عنوان و محتوا می باشد. بر مبنای این که روش شناسایی از کدام بخش از داده شبکه استفاده می کند، روش ها را به دو دسته تقسیم بندی می کنند. در ادامه هر یک از این روش ها بررسی و تعدادی از پژوهش هایی که در این زمینه مطرح گردیده اند آورده می شود.

3-2-1. داده جریان شبکه
همان طور که گفته شد، محققان حوزه شناسایی نفوذ با مشکل عدم وجود مجموعه داده مناسب همگانی جهت ارزیابی مدل های خود روبرو می باشند. به خصوص در زمینه روش های مبتنی بر جریان به دلیل وجود دغدغه حفظ حریم ، این مسئله کارشناسان را با محدودیت مواجه ساخته است. همچنین داده های موجود بسیار قدیمی بوده و شامل تهدیدهای به روز نمی باشد. از دیگر مواردی که تهیه مجموعه داده را با اشکال مواجه می کند، نیاز به داده آزمایشی جهت ساخت مدل در برخی روش های شناسایی است. در نهایت می توان گفت که هنوز داده ای مناسب و همگانی جهت ارزیابی و مقایسه روش های سناسایی نفوذ ارائه نشده است[16].
در بسیاری از پژوهش های مبتنی بر جریان، پژوهشگران داده های مورد نیاز را خودشان تهیه کرده و مدل خود را با آن آزمایش می کنند. به عنوان مثال در پژوهش انجام شده توسط Ding و دیگران [17]، نویسندگان داده های خود را از یک سرویس دهنده خدمات اینترنتی اروپایی جمع آوری کرده اند. در پژوهش انجام گرفته توسط O’Donnell[18]و دیگران از داده های ضبط شده توسط سرورهای پستی دانشگاهی استفاده کرده اند. این داده ها به دلایل مسائل امنیتی مرتبط با حفظ حریم عمدتا در اختیار عموم قرار نمی گیرند.
با توجه به مشکلاتی که در زمینه تهیه داده واقعی وجود دارد، در برخی موارد پژوهشگران از داده های شبیه سازی شده برای ارزیابی مدل شناسایی خود استفاده می کنند. در پژوهش انجام شده توسط [14]علاوه بر جمع آوری داده واقعی، با استفاده از زنجیره مارکو به شبیه سازی داده نرمال و داده مرتبط با حملات در قالب سری های زمانی انجام شده است. در پژوهش پیش رو نیز با استفاده از تابع توزیع Power law داده های شبکه شبیه سازی شده اند.
3-2-2. روش های مبتنی بر بسته
برخی دیگر از تمامی محتوای بسته اطلاعاتی استفاده می کنند که با نام روش های مبتنی بر بسته شناخته می شوند.
3-2-3. روش های مبتنی بر جریان
برخی سیستم شناسایی نفوذ تنها از اطلاعات موجود در قسمت عنوان استفاده می کنند که با نام روش های مبتنی بر جریان شناخته می شوند. این اطلاعات توسط سخت افزار شبکه در فرم داده جریان شبکه مورد استفاده قرار می گیرد. در واقع یک جریان به خوبی قادر به نشان دادن ارتباط صورت گرفته میان دو میزبان در شبکه می باشد. در نتیجه برمبنای تحلیل ارتباطات میزبان ها، سیستم تشخیص نفوذ الگوی ارتباطی مشکوک در شبکه می باشد.
استفاده از داده جریان شبکه به شکل قابل ملاحظه ای میزان داده مورد استفاده جهت تحلیل را کاهش می دهد. این مسئله سبب می شود تا سربار کمتری نسبت به روش های مبتنی بر بسته به تحلیل گر امنیتی شبکه تحمیل شود. از سویی دیگر عدم استفاده از محتوای بسته، محدوده شناسایی سیستم شناسایی نفوذ را محدود می کند. در نتیجه پژوهش های امنیتی در زمینه سیستم شناسایی نفوذ مبتنی بر جریان بر روی حملاتی که بر روی الگوی ارتباطی در شبکه تاثیر می گذارد مانند حملات کرم ها، پویش (از دسته سرقت اطلاعات)، محدود کننده سرویس و Botnet متمرکز می باشند. در ادامه به برخی از پژوهش هایی که در این زمینه انجام گرفته می پردازیم.
3-2-4. کرم ها
کرم ها دارای دو مرحله عملیاتی می باشند: مرحله کاوش و مرحله انتقال. در مرحله کاوش، کرم صرفا به دنبال کاوش شبکه به منظور یافتن نقاط آسیب پذیر در شبکه می باشد. در مرحله انتقال کد مخرب مربوط به کرم به سیستم قربانی انتقال می یابد. روش های مبتنی بر جریان بر شناسایی کرم در مرحله کاوش متمرکز می باشند چرا که برای شناسایی کدهای مخرب در حال انتقال به محتوای بسته نیاز خواهیم داشت. در بسیاری موارد شناسایی کرم مشابه شناسایی پویش در شبکه در نظر گرفته می شود. به عنوان مثال روش ارائه شده توسط Wagner و دیگران[20] که برای شناسایی پویش در شبکه ارائه شده، به راحتی قابل تعمیم برای شناسایی کرم ها می باشد.
در پژوهش انجام شده توسط Dübendorfer و دیگران رفتار میزبان بر مبنای ترافیک ورودی و خروجی تعریف می شود. الگوریتم پیشنهادی توسط ایشان میزبان های موجود در شبکه را به یک سری کلاس دسته بندی می کردند: کلاس های ترافیک ، برقرارکننده اتصال و پاسخ دهنده اتصال . کلاس ترافیک شامل میزبان هایی است که میزان ارسال ترافیک در آن ها بیشتر از میزان دریافت ترافیک می باشد. میزبان هایی که درجه خروجی بسیار بالا و نامتعارف دارند، در کلاس برقرار کننده اتصال قرار می گیرند. همچنین میزبان هایی که در ارتباطات دوسویه بسیاری وجود داشته باشند در کلاس پاسخگو قرار می گیرند. این کلاس ها به گونه ای تعریف می شوند که تنها میزبان های مشکوک در آن ها قرار می گیرند. شایان ذکر است که با این تعریف یک میزبان می تواند در یک یا چندین کلاس دسته بندی شود. در این روش به طور متناوب وضعیت میزبان های شبکه بررسی می شود.تغییرات شدید در درجه یک یا چندین کلاس نشانگر انتشار کرم در شبکه می باشد. در شکل زیر می توانید این سه کلاس و تداخل آنها در یکدیگر را مشاهده کنید. نویسندگان روش خود را در برابر کرم های سریع منتشر شونده مانند Witty و Blaster ارزیابی و موثر اعلام کرده اند.

3-1. مقدمه……………………………………………………………………….. 28
3-2. روش مبتنی بر جریان در برابر روش مبتنی بر محتوا …………………….28
3-2-1. داده جریان شبکه………………………………………………………… 29
3-2-2. روش های مبتنی بر بسته……………………………………………… 30
3-2-3. روش های مبتنی بر جریان………………………………………………. 30
3-2-4. کرم ها ……………………………………………………………………..31
3-2-5. محدود کننده سرویس……………………………………………………. 34
3-2-6. پویش……………………………………………………………………….. 36
3-2-7. Botnet ا………………………………………………………………………39

فصل چهارم روش پیشنهادی

در سال های اخیر برخی از محققان از معیارهای ارزیابی رفتار افراد در شبکه های اجتماعی جهت شناسایی نفوذگران در شبکه بهره برده اند. آن ها نشان داده اند که با مدل کردن جریان های شبکه به شکل یک شبکه اجتماعی، قادر به کشف الگوی رفتارز افراد در شبکه می باشند. در پژوهش پیش رو نیز ما با استفاده از تبدیل جریانات شبکه به گراف ارتباطی میان میزبان ها و نیز استفاده از یک سری معیارهای شباهت روشی موثر برای یافتن نفوذگران در شبکه ارائه کرده ایم. با این ایده که فرد نفوذگر رفتاری متفاوت با افرادی که در همسایگی او وجود دارند نشان می دهد. پس از تبدیل اطلاعات جریان شبکه به گراف ارتباطی شبکه که در واقع یک شبکه اجتماعی می باشد، با استفاده از معیارهای شباهت، افرادی که کمترین شباهت را با پیرامون خود دارند را به عنوان نفوذگر شناسایی می شوند. نتایج این روش نشان می دهد که علی رغم استفاده از اطلاعات کمتر این روش قادر است خملاتی که بر روی الگوی ارتباط در شبکه تاثیر می گذارند را شناسایی کند.
4-2. مجموعه داده
همان طور که گفته شد، به دلیل دغدغه های امنیتی مرتبط با حفظ حریم، مجموعه داده مناسب همگانی جهت ارزیابی روش های مبتنی بر جریان موجود نمی باشد. در برخی پژوهش ها از جمله پیش رو از داده های جریان شبکه شبیه سازی شده جهت ارزیابی روش ارائه شده استفاده می شود. در پژوهش انجام شده توسط Pennock و دیگران[39] اثبات شده که بسیاری از شبکه ها در دنیای واقعی مانند شبکه وب، شبکه های کامپیوتری و شبکه های اجتماعی از دارای ساختار Scale free می باشند. این ساختار از توزیع Power law تبعیت می کند. در این توزیع تعداد اندکی از میزبان ها دارای درجه کلی بسیار بالا تر از میانگین شبکه و تعداد زیادی از میزبان ها دارای درجه کلی بسیار کم تر از میانگین شبکه می باشند. در این پژوهش جهت ساخت داده نرمال شبکه از توزیع ذکر شده بهره برده ایم. در شکل زیر شمایی از شبکه Scale free و نیز نمودار توزیع Power law را می توانید مشاهده کنید.

شکل 4-1.شبکه Scale free و نمودار توزیع Power la

شکل 4-1. شبکه Scale free و نمودار توزیع Power la

4-1. مقدمه…………………………………………………………………………43
4-2. مجموعه داده ………………………………………………………………..43
4-3. معیارهای شباهت ………………………………………………………….45
4-3-1. معیارهای مبتنی بر گراف……………………………………………….. 45
4-3-1-1. ضریب خوشه بندی محلی …………………………………………….45
4-3-1-2. ضریب خوشه بندی وزن دار محلی…………………………………… 46
4-3-2. معیارهای مبتنی بر گره…………………………………………………… 48
4-3-2-1. میانگین شباهت محلی……………………………………………….. 48
4-3-2-2. نسبت درجه گره……………………………………………………….. 49
4-3-2-3. معیار Zscore ا……………………………………………………………49
4-4. شناسایی نفوذگران…………………………………………………………. 51

برای دانلود رایگان قسمت های بیشتراز فایل به انتهای مطلب مراجعه کنید

فصل پنجم آزمایشات و نتایج

5-1. مقدمه……………………………………………………………………….. 53
5-2. شبیه سازی گراف شبکه………………………………………………….. 53
5-3. ساخت گراف یک سویه…………………………………………………….. 56
5-4. مقایسه معیارهای شباهت………………………………………………… 57
5-5. نتایج…………………………………………………………………………… 58
فهرست منابع……………………………………………………………………….60

Abstract

Due to growing popularity of the computer networks, they have received a large number of threats. These threats are carried out by a number of malicious hosts within the network. These hosts can be considered as potential intruders which search for vulnerable targets to conduct future attacks. As the social network analysis concepts are capable of revealing characteristics and behavior of the network’s members, so abnormal behavior of intruders could be detected by using them. In this paper, we have introduced some similarity measures that use both topological and node level properties of the hosts. This measures provide significant level of detection in the networks which identifies hosts that have less similarity to their neighborhood as intruders. Our results show better performance compared to baseline method on the network communication graph which is extracted from the network traffic data.



بلافاصله بعد از پرداخت به ایمیلی که در مرحله بعد وارد میکنید ارسال میشود.


فایل pdf غیر قابل ویرایش

قیمت25000تومان

خرید فایل word

قیمت35000تومان