دانشـكده مهندسـي برق و کامپیوتر
پايان‌نامه كارشناسي ارشد در رشته مهندسي کامپيوتر (هوش مصنوعی)
شناسایی نفوذگران با کمک مفهوم شبکه اجتماعی
توسط:
فاطمه علی زاده زوج
استاد راهنما:
دكتر علی حمزه
اسفند 1392
بـه نـام خـدا
اظهارنامه
اينجانب فاطمه علی زاده زوج (900273) دانشجوي رشتهي مهندسی کامپیوتر گرایش هوش مصنوعی دانشکدهی مهندسی برق و کامپیوتر اظهار مينمایم كه اين پاياننامه حاصل پژوهش خودم بوده و در جاهايي كه از منابع ديگران استفاده كردهام، نشاني دقيق و مشخصات كامل آن را نوشتهام. همچنين اظهار ميكنم كه تحقيق و موضوع پاياننامهام تكراري نيست و تعهد مي‌نمايم كه بدون مجوز دانشگاه دستاوردهاي آن را منتشر ننموده و يا در اختيار غير قرار ندهم. كليه حقوق اين اثر مطابق با آييننامه مالكيت فكري و معنوي متعلق به دانشگاه شيراز است.
نام و نام خانوادگی: فاطمه علی زاده زوج
تاریخ و امضا:
تقدیم به کودکم
 
فرشته ای که کاستی هایم را در مهرورزی صبورانه تحمل کرد تا من به جایگاهی که اکنون در آن ایستاده ام برسم.
تقدیم به خانواده ام
آنان که همواره با مهرورزی، همراهی و حمایت خود به من در مسیر رشد و تعالی یاری ورزیده اند. به آنانی که موفقیت، شادی و آرامش من منتهای آرزویشان است.
سپاسگزاري
سپاس خدای را که سخنوران، در ستودن او بمانند و شمارندگان، شمردن نعمت های او ندانند و کوشندگان، حق او را گزاردن نتوانند.
از خانواده عزیزم، که همواره بر کوتاهی و درشتی من، قلم عفو کشیده و کریمانه از کنار غفلت هایم گذشته اند و در تمام عرصه های زندگی یار و یاوری بی چشم داشت برای من بوده اند؛ از استاد با کمالات و شایسته، جناب آقای دکتر علی حمزه که در کمال سعه صدر، با حسن خلق و فروتنی، از هیچ کمکی در این عرصه بر من دریغ ننمودند و زحمت راهنمایی این پایان نامه را بر عهده گرفتند؛ از استاد صبور، جناب آقای دکتر شهرام جعفری، که زحمت مشاوره این پایان نامه را متقبل شدند؛ و از استاد فرزانه و دلسوز، جناب آقای دکتر منصور ذوالقدر جهرمی که زحمت داوری این رساله را متقبل شدند؛ کمال تشکر و قدردانی را دارم. همچنین با تشکر از مهندس مرتضی تاجبخش که در زمینه انجام آزمایشات مرتبط همکاری لازم را با این جانب داشته اند. باشد که این خردترین، بخشی از زحمات آنان را سپاس گوید.
چکيده
شناسایی نفوذگران در یک شبکه اجتماعی
به کوشش
فاطمه علی زاده زوج
در سالهای اخیر با گسترش شبکههای کامپیوتری و افزایش دسترسی افراد به آن، این بستر اطلاعاتی به شکل فزایندهای دستخوش نفوذ، سوءاستفاده و حمله گردیده است. عواملی از قبیل منافع مالی، اهداف سیاسی یا نظامی و نیز مقاصد شخصی سبب افزایش حوادث امنیتی در سیستمهای اطلاعاتی میگردد. در نتیجه امنیت شبکه های کامپیوتری تبدیل به یکی از مهمترین دغدغههای اصلی کارشناسان شبکه و دیگر افراد مرتبط با شبکهها شده است. ابزارهای متعددی جهت حفظ امنیت سیستمهای کامپیوتری گسترش یافتهاند که یکی از آنها سیستم شناسایی نفوذ1 می باشد. امروزه سیستم شناسایی نفوذ نقش مهمی را در زمینه حفظ امنیت سیستمهای اطلاعاتی و کاربران آنها در برابر حملات شریرانه ایفا می کند. سیستم شناسایی نفوذ، تنها سیستمی است که به شکل فعال قادر به شناسایی استفادههای غیرمجاز و نیز سوءاستفاده از سیستمهای اطلاعاتی توسط حملهگرهای داخلی و خارجی میباشد. در نتیجه این سیستم یکی از اجزای بسیار ضروری در حفظ امنیت ساختارهای اطلاعاتی است و میتواند در کنار دیوار آتش2 به حفظ امنیت سیستم اطلاعاتی کمک کند. در این پژوهش با به کارگیری رویکرد تحلیل شبکه های اجتماعی و ارائه معیارهای شباهت افراد در شبکه مدلی ارائه شده تا افراد مشکوک در شبکه شناسایی شوند. همچنین مدلی برای شبیه سازی بستر آزمایش جهت سیستم های شناسایی نفوذ مبتنی بر جریان فراهم آورده شده است.
کلید واژگان: شناسایی نفوذگران-روش های شناسایی مبتنی بر جریان- تشخیص ناهنجاری
فهرست مطالب
عنوان صفحه
1. کلیات2
1-1. مقدمه………………………………………………………………………………………………………………………………2
1-2. اهدف تحقیق..3
1-3. تعاریف اولیه…4
1-3-1. نفوذ4
1-3-2. نفوذگر5
1-3-3. سیستم های شناسایی نفوذ6
1-3-4. سیستم های پیشگیری از نفوذ6
1-3-5. دیوار آتش7
1-4. چالشهای مسئله7
1-5. نگاهی به فصول پایان نامه9
2. مبانی نظری تحقیق12
2-1. مقدمه…………………..12
2-2. طبقه بندی سیستم های تشخیص نفوذ13
2-2-1. منبع اطلاعاتی13
2-2-1. روش تحلیل15
2-2-2. نحوه نظارت16
2-2-3. روش پاسخگویی17
2-3. جریان شبکه…20
2-3-1. تعریف جریان شبکه20
2-4. انواع حملات…..22
3. پیشینه تحقیق28
3-1. مقدمه………………..28
3-2. روش مبتنی بر جریان در برابر روش مبتنی بر محتوا28
3-2-1. داده جریان شبکه29
3-2-2. روش های مبتنی بر بسته30
3-2-3. روش های مبتنی بر جریان30
3-2-4. کرم ها31
3-2-5. محدود کننده سرویس34
3-2-6. پویش36
3-2-7. Botnet39
4. روش پیشنهادی43
4-1. مقدمه…………………………………………………………………………………………………………………………..43
4-2. مجموعه داده………………………………………………………………………………………………………………..43
4-3. معیارهای شباهت45
4-3-1. معیارهای مبتنی بر گراف45
4-3-1-1. ضریب خوشه بندی محلی45
4-3-1-2. ضریب خوشه بندی وزن دار محلی46
4-3-2. معیارهای مبتنی بر گره48
4-3-2-1. میانگین شباهت محلی48
4-3-2-2. نسبت درجه گره49
4-3-2-3. معیار Zscore49
4-4. شناسایی نفوذگران51
5. آزمایشات و نتایج53
5-1. مقدمه…………………53
5-2. شبیه سازی گراف شبکه53
5-3. ساخت گراف یک سویه56
5-4. مقایسه معیارهای شباهت57
5-5. نتایج……………..58
فهرست منابع60
فهرست جداول
عنوان صفحه
جدول 5-1.بررسی معیارهای شناسایی براساس میزان کارآیی F_measure.57
جدول 5-2.ترکیب معیارهای شناسایی با ضریب خوشه بندی58
فهرست شکل‌ها
عنوان صفحه
شکل 2-1.دسته بندی سیستم های شناسایی نفوذ20
شکل 2-2.عملیات صدور و جمع آوری جریان شبکه22
شکل 3-1.کلاس های مرتبط با میزبان های شبکه32
شکل 3-2.اجزاء همبند توصیف کننده الگوهای ارتباط میان میزبان ها در شبکه34
شکل 3-3.دسته بندی حملات پویش37
شکل 4-1.شبکه Scale free و نمودار توزیع Power law44
شکل 4-2.تبدیل گراف دوسویه به یک سویه48
شکل 4-3.نمودار توزیع z-score.50
شکل 5-1.نتایج شناسایی نفوذگران در شبکه هایی با مقدار آلفا متغییر.54
شکل 5-2.نتایج شناسایی نفوذگران در شبکه هایی با مقدار v0 متغییر.55
شکل 5-3.نتایج شناسایی نفوذگران در شبکه هایی با توجه به درصد متغییر نفوذگران56
فصل اول
کلیات
مقدمه
استفاده روزافزون افراد، سازمان ها، ارگان های دولتی و حتی زیرساخت های حیاتی مانند نیروگاه ها، از شبکه های کامپیوتری و اینترنت ، سبب شده تا بسیاری از تعاملات فردی و مالی وابسته به شبکه های کامپیوتری باشد. از سویی دیگر، این مسئله شبکه های کامپیوتری و کاربران آنها را به طمعه هایی جهت افراد سودجو تبدیل کرده است. بسیاری از افراد با نفوذ در شبکه و سرقت اطلاعات فردی و یا مالی، خسارات زیادی را به افراد، سازمانها و حتی دولت ها وارد کرده اند. به طور کلی میتوان واژه نفوذ را به فعالیتهایی اطلاق کرد که توسط نفوذگر به منظور ورود به سیستم اطلاعاتی جهت خواندن، آسیب رساندن و سرقت اطلاعات صورت می گیرد. بر اساس بسیاری از برآوردها، درصد بالایی از نفوذهای انجام شده -بیش از 85 درصد- از طرف کاربران داخلی انجام میشود و مابقی از خارج از محیط صورت می گیرد[5] . از این رو هیچ فرد و یا سازمانی که با سیستمهای اطلاعاتی سر و کار دارد، نمی تواند از این قبیل حوادث امنیتی مصون باشد. در نتیجه سیستم های شناسایی نفوذ تبدیل به بخش جدایی ناپذیر از ساختار امنیتی غالب سیستم های اطلاعاتی گردیده اند[17]. سیستم شناسایی نفوذ، تنها سیستمی است که به شکل فعال قادر به شناسایی استفادههای غیرمجاز و نیز سوءاستفاده از سیستمهای اطلاعاتی توسط حملهگرهای داخلی و خارجی میباشد. سیستم شناسایی نفوذ اطلاعات مرتبط با منابع مختلف در شبکه های کامپیوتری را جمع آوری و به منظور پی بردن به فعالیت های نفوذی تحلیل می کنند. غالبا فعالیت های نفوذی به منظور دستیابی، دستکاری و ایجاد اختلال در سیستم های کامپیوتری صورت می گیرد. در نتیجه این سیستم یکی از اجزای بسیار ضروری در حفظ امنیت ساختارهای اطلاعاتی است و میتواند در کنار دیوار آتش3 به حفظ امنیت سیستم اطلاعاتی کمک کند. به عنوان نمونه هایی از سیستم شناسایی نفوذ می توان به سیستم های تشخیص نفوذ تحت شبکه، دیوارهای آتش تحت وب، سیستم شناسایی بدافزار botnet و … اشاره کرد. به علاوه سیستم شناسایی نفوذ در راستای حفظ سیستم اطلاعاتی از حملات خطرناک، قادر است تا دیوار آتش را به گونه ای مناسب پیکربندی کند.
اهدف تحقیق
امروزه امنیت شبکههای اطلاعاتی، یکی از مسائل چالش برانگیز در حوزه علوم کامپیوتری میباشد. دامنه حملات به شبکههای کامپیوتری هر روز گستردهتر میشود؛ اما مسئولیت شناسایی و مسدود کردن حملات در کاربران نهایی و سرویسدهندگان اینترنت به عهده مدیران این سیستمها واگذار شده است. وجود نقاط آسیبپذیر در سیستمهای اطلاعاتی به همراه رشد انفجاری انواع مختلف بدافزار، باعث شده تا روند بهروز نگهداشتن سیستمهای شناسایی نفوذ مبتنی بر امضا با دشواریهایی مواجه گردد. در نتیجه این سیستمها قادر به شناسایی حملات نوظهور نخواهند بود. سیستمهای شناسایی نفوذ مبتنی بر ناهنجاری نیز علیرغم قابلیت تطبیقپذیریشان و توانمندی در شناسایی حملات نوظهور, بسیار وابسته به تعریفی که از مدل نرمال سیستم ارائه میشود، هستند.
طی چند سال اخیر، شبکههای اجتماعی تبدیل به قطب مرکزی اطلاعات و ارتباطات گردیده و به شکل روزافزون مورد توجه و حمله قرار گرفتهاند. این مسئله سبب شده تا تشخیص نفوذگران از کاربران عادی، تبدیل به یکی از مسائل چالشبرانگیز در رابطه با شبکههای اجتماعی گردد. در تحقیق پیش رو بر اساس رویکرد مبتنی بر ناهنجاری، به بررسی چگونگی شناسایی نفوذگران در شبکههای اجتماعی خواهیم پرداخت. تمرکز اصلی ما بر این مطلب استوار است که قادر باشیم به صورت پویا و با کمترین پیچیدگی زمان و فضا، نفوذگر را شناسایی کرده و به شکل فعال، نسبت به وی عکس العمل نشان دهیم.
یکی از ویژگیهای شبکههای اجتماعی این است که الگوی ارتباطی و در نتیجه الگوی رفتار اجتماعی کاربران شبکه را به وضوح انعکاس میدهند [5]. به همین دلیل برای ساخت مدل رفتار نرمال در شبکه و شناسایی انحرافات از این مدل نرمال جهت شناسایی رفتار نابهنجار کاربران شبکه، تمرکز ما در این تحقیق بر شناسایی نفوذگران بر مبنای رفتار آنها در شبکههای اجتماعی خواهد بود. برای شناسایی نفوذگران در یک شبکه، مفهوم متفاوتی از نفوذ، مبنای کار قرار داده شده است: “نفوذ، ورود یک فرد به اجتماعی4 است که به آن تعلق ندارد”. بر اساس این مفهوم میبایست ابتدا گراف ارتباطات شبکه را شکل داده، اجتماعات را در گراف تعیین کرد و در ادامه تعلق داشتن و یا نداشتن یک فرد به یک اجتماع را استخراج کرد.
برای شناسایی الگوهای ارتباطی کاربران، از دادههای جریان شبکه5 که شامل جریان داده میان میزبانهای نهایی که توسط آدرسهای IP نشان داده میشوند، میتوان استفاده کرد. همان طور که میدانیم بسیاری از روشهای تشخیص نفوذ، قادر نیستند تنها با داشتن این اطلاعات ساده کار کنند و نیاز به ویژگیهای متعددی در مورد ارتباطات کاربر در شبکه دارند.
یکی از دلایلی که سبب شده تا در این تحقیق توجه خود را معطوف به مجموعه داده جریان شبکه کنیم، این است که این نوع مجموعه داده دارای تعداد ویژگی کمتری نسبت به مجموعه دادههای متداول -که در رویکرد مبتنی بر ناهنجاری استفاده میشوند- میباشند؛ در نتیجه میتواند در رسیدن به هدف این تحقیق که همان استفاده از سیستم در کوتاهترین زمان است به ما کمک کند. این نوع مجموعه داده بر مبنای اطلاعات ضبط شده دیوارههای آتش، از فراهم کنندههای سرویس اینترنتی6 جمع آوری میشوند. همان طور که ذکر شد، مجموعه دادههای متداول جهت تحقیق در زمینه سیستمهای شناسایی نفوذ مبتنی بر ناهنجاری – مانند KDD99- دارای تعداد ویژگی بیشتری نسبت به دادههای جریان شبکه هستند. علاوه بر این، با توجه به ظهور روشهای نفوذ و بدافزارهای جدید، بدیهی است که استفاده از مجموعه دادههایی که مربوط به سالهای اخیر باشد را میتوان در اولویت کار قرار داده شود.
تعاریف اولیه
همان طور که گفته شد، سیستم های تشخیص نفوذ به دنبال یافتن فعالیت های نفوذی در محیط و یا موجودیتی به نام نفوذگر هستند. در ادامه تعاریف اولیه که در این حوزه مطرح می شوند، آورده شده است:
نفوذ
به طور کلی، مفهوم واژه نفوذ با توجه به نوع سیستم تشخیص دهنده آن، سیستم و سرویسهای مورد بررسی، تعریف می شود. واژه نفوذ را به فعالیتهایی اطلاق می شود که توسط نفوذگر به منظور ورود به سیستم اطلاعاتی جهت خواندن، آسیب رساندن و سرقت اطلاعات صورت می گیرد. این فعالیت ها به دو دسته تقسیم می شوند[16]:
فعالیتهای قبل از نفوذ: این فعالیتها توسط نفوذگر جهت آمادگی برای انجام نفوذ صورت میگیرد. به عنوان نمونههایی از این فعالیتها می توان به پویش پورت7 به منظور یافتن راهی برای ورود به شبکه و تحریف آدرس IP 8با هدف ورود مخفیانه نفوذگر به شبکه، می توان اشاره کرد.
نفوذ: نفوذگر پس از ورود به سیستم میتواند حمله به ساختار شبکه را راه اندازی کند. حملاتی مانند حمله به رجیستری و تغییر تنظیمات آن، سرقت رمز عبور9 و سوء استفاده از سطح دسترسی کاربر مجاز, حملات Trojan و … را در زمره فعالیت های نفوذ به حساب آورد.
نفوذگر
در یک تعریف جامع از واژه نفوذکر می توان گفت: ” نفوذگر کسی است که به دنبال یافتن دسترسی غیر مجاز به سیستم کامپیوتری به منظور سرقت اطلاعات، سوءاستفاده و یا تخریب سیستم کامپیوتری می باشد”[10]. می توان نفوذگران را به دو دسته تقسیم بندی کرد:
نفوذگران بیرونی10: کسانی که هیچ سطحی از دسترسی به سیستم برای آنها تعریف نشده است.
نفوذگران داخلی11: افرادی که دارای سطح دسترسی محدودی به سیستم هستند ولیکن به دنبال سطح بالاتری از دسترسی جهت سوءاستفاده از سیستم کامپیوتری می باشند.
سیستم های شناسایی نفوذ
این سیستم ها وظیفه شناسایی و تشخیص هر گونه استفاده غیرمجاز به سیستم، سوء استفاده و یا آسیب رسانی توسط کاربران داخلی و یا خارجی را بر عهده دارند. تشخیص و جلوگیری از نفوذ امروزه به عنوان یکی از مکانیزم‌های اصلی در برآوردن امنیت شبکه‌ها و سیستم‌های رایانه‌ای مطرح است و عمومأ در کنار دیواره‌های آتش و به صورت مکمل امنیتی برای آن‌ها مورد استفاده قرار می‌گیرند.
سامانه‌های تشخیص نفوذ به صورت سامانه‌های نرم‌افزاری و سخت افزاری ایجاد شده و هر کدام مزایا و معایب خاص خود را دارند. سرعت و دقت از مزایای سیستم‌های سخت افزاری است و عدم شکست امنیتی آن‌ها توسط نفوذگران، قابلیت دیگر این گونه سیستم‌ها می‌باشد. اما استفاده آسان از نرم‌افزار، قابلیت سازگاری در شرایط نرم‌افزاری و تفاوت سیستم‌های عامل مختلف، عمومیت بیشتری را به سامانه‌های نرم‌افزاری می‌دهد و عمومأ این گونه سیستم‌ها انتخاب مناسب تری هستند.
سیستم های پیشگیری از نفوذ12
این سیستم‌های که با عنوان سیستم های شناسایی و جلوگیری از نفوذ هم شناخته می‌شوند، ابزاری برای امنیت سیستم ها هستند که فعالیت‌های موجود در شبکه و یا سیستم را برای تشخیص و جلوگیری از فعالیت‌های مخرب تحت نظر می‌گیرند. وظایف اصلی یک سیستم جلوگیری نفوذ شامل شناسایی فعالیت‌های مخرب، ثبت اطلاعات در مورد این فعالیت‌ها، اقدام به بلوکه و متوقف کردن این فعالیت‌ها و ثبت گزارش کارهای انجام شده توسط خود سیستم می‌باشد.
سیستم‌های جلوگیری از نفوذ حالت ارتقا یافته سیستم‌های تشخیص نفوذ محسوب می‌شوند چرا که هر دو این سیستم‌ها فعالیت‌های شبکه و یا سیستم را برای یافتن فعالیت‌های مخرب نظارت می‌کنند. تفاوت اصلی این سیستم‌ها با سیستم‌های تشخیص نفوذ در این است که این سیستم‌ها می‌توانند به صورت فعال مانع فعالیت‌های مخرب شده و یا آنها را متوقف کنند. به طور دقیق‌تر می‌توان گفت که یک سیستم جلوگیری نفوذ توانایی انجام کارهایی مانند ارسال هشدار، دور ریختن بسته‌های مخرب، بازنشاندن و یا بلوکه کردن ارتباط از طرف آدرس‌های متخاصم. این سیستم‌ها همچنین توانایی اصلاح خطاهای CRC، اصلاح ترتیب بسته‌ها، جلوگیری از مسائل ترتیب بسته TCP و پاکسازی گزینه‌های ناخواسته در لایه حمل و شبکه را دارند.
دیوار آتش
دیوار آتش، از اجزای لاینفک شبکه‌های کامپیوتری می باشد که از دستیابی غیر مجاز به شبکه‌ جلوگیری می‌کنند. این سیستم امنیتی معمولاً ترکیبی از سخت‌افزار و نرم‌افزار است و با توجه به حساسیت اطلاعات هر سازمان دارای پیکربندی و قدرت متفاوتی می باشند. هر چند دیوار آتش بخش مهمی از سیستم امنیتی شبکه را تشکیل می دهد لیکن قادر به شناسایی و محدود کردن حملاتی بیرونی هستند. مدیران امنیتی سیستم به خوبی می دانند که بیشتر حملات از درون شبکه راه اندازی می شوند[5]. در نتیجه نیاز به وجود سیستم های شناسایی و پیشگیری نفوذ برای مدیران امنیتی سیستم یک امر مسلم است.
چالشهای مسئله
با پیشرفت تکنولوژی شبکه های کامپیوتری، افراد به راحتی به پهنای باند بالا جهت تبادل اطلاعات دسترسی دارند. بدون هیچ نگرانی در رابطه با پهنای باند، هر روز سرویس ها و خدمات متفاوتی به کاربران ارائه می شود. همین مسئله منجر به تولید حجم بسیار بالای ترافیک شبکه شده است که روش های مدیریت و نظارت ترافیک شبکه را دچار اشکال کرده است. به عنوان مثال، در یک شبکه دانشگاهی به طور میانگین ترافیکی حدود صدها مگا بایت -و در اوج شلوغی شبکه حتی تا چندین گیگا بایت- انتقال می یابد[1]. در نتیجه نیاز به روش های جدیدی است که قادر به مدیریت و نظارت بر این حجم بالای اطلاعات باشند. از سویی دیگر رشد انفجاری تعداد حملات و تنوع آنها یکی دیگر از مسائلی است که روش های متداول را دچار مشکل می سازد. دلیل این رشد منافع اقتصادی روزافزون حملات می باشد. به عنوان مثال می توان به هرزنامه13 اشاره کرد. بر اساس ادعای کارشناسان حدود 90% از پیام های منتشر شده در سرتاسر جهان هرزنامه می باشد. به عنوان هرزنامه ها به شکل تبلیغات اغوا کننده و یا نامه های رسمی به دنبال جمع آوری اطلاعات شخصی کاربران مانند اطلاعات بانکی آنها می باشند[2]. زمانی که به دنبال یافتن نفوذگران در شبکه هستیم، ترکیب دو پدیده ذکر شده –حجم بسیار بالای ترافیک شبکه و تعداد بالا و تنوع زیاد حملات- سبب می شود تا روش های شناسایی متداول با اشکالانی مواجه شوند. این مسئله منجر به بوجود آمدن روش های شده که به جای بررسی محتوای بسته در شبکه، تمرکز خود را بر روی بررسی الگوی ارتباطات در شبکه متمرکز کنند [3و4و5].
جهت استخراج و بررسی الگوی ارتباطی در شبکه نیاز به بررسی داده های جریان14 در شبکه می باشد. جریان عبارت است از تعدادی بسته که دارای منبع و مقصد مشترک می باشند. این جریان نشان دهنده ارتباط میان دو میزبان نهایی می باشد. روش های مبتنی بر جریان شبکه با استفاده از این جریانات قادرند جریان های مشکوک را در شبکه شناسایی کنند. بدیهی است که این روش تاثیر به سزایی در کاهش حجم داده ای که نیاز به نظارت و تحلیل دارد، ایفا می کند. همان طور که میدانیم بسیاری از روشهای تشخیص نفوذ مانند روش های مبتنی بر محتوا، قادر نیستند تنها با داشتن این اطلاعات ساده کار کنند و نیاز به ویژگیهای متعددی در مورد ارتباطات کاربر در شبکه دارند. همچنین با توجه به سرعت و حجم بالای اطلاعات شبکه، اعمال این روش ها برای نظارت و بررسی تمامی بسته های شبکه امکان پذیر نمی باشد. در نتیجه می توان روش های شناسایی مبتنی بر جریان شبکه را رویکردی مناسب نسبت به روش های مبتنی بر محتوا دانست.
یکی از چالش های موجود در زمینه توسعه تکنیک های شناسایی نفوذ، عدم وجود مجموعه داده مناسب جهت توسعه، ارزیابی و مقایسه تکنیک های شناسایی نفوذ می باشد. مجموعه داده مناسب می بایست دارای شرایط زیر باشد:
واقعی باشد: این مسئله در مورد داده های مرتبط با روش های مبتنی بر جریان شبکه بیشتر نمود پیدا می کند. چرا که نشر اطلاعات ترافیک شبکه که حاوی آدرس های مبدا و مقصد باشد با قوانین حفظ حریم15 کاربران و امنیت شبکه در تضاد می باشد. به عنوان مثال داده ای که از جریان ترافیک یک شبکه واقعی جمع آوری شده –مانند یک سرویس دهنده اینترنت- را به دلیل اینکه دارای اطلاعات مرتبط با کاربران شبکه می باشد، را به ندرت در اختیار عموم قرار می دهند. تکنیک های گمنام سازی آدرس ها نیز به دلیل به کار بردن روش مهندسی معکوس ممکن است ناکارآمد باشند. از این رو بیشتر گرایش به داده های مصنوعی و شبیه سازی شده می باشد.
دارای برچسب باشد: تمامی رکوردهای موجود در این مجموعه داده می بایست دارای برچسب نرمال و یا مشکوک باشد. برچسب زدن جریان های شبکه، به ویژه در مورد داده هایی با حجم بالا کاری بسیار زمان بر است .
دارای حملات متداول باشد: مجموعه داده می بایست دارای جریانات مرتبط با حملات متداول باشد. با توجه به سرعت رشد و تحول تکنیک های حملات، مجموعه داده ها به سرعت قدیمی می شوند. در نتیجه مجموعه داده های موجود دارای حملات جدید نمی باشند و ممکن است در محیط های واقعی ناکارآمد باشند.
دسترسی عمومی: بیشتر محققان از داده هایی استفاده می کنند که اختصاصی است و در دسترس عموم نمی باشد. به عنوان مثال از ترافیک شبکه دانشگاه و یا یک مرکز تحقیقات جمع آوری شده است. بدیهی است که این نمونه داده به دلایل امنیتی و حفظ حریم کاربران در دسترس عموم قرار نمی گیرد.
یکی از مجموعه داده های معتبر که در زمینه تشخیص نفوذ استفاده می شود، مجموعه داده DARPA می باشد. از این رو به محققان توصیه می شود که استفاده از این مجموعه داده را کنار گذارند.
نگاهی به فصول پایان نامه
در این پایاننامه سعی شده است تا با استفاده از مفاهیم مرتبط با تحلیل شبکه های اجتماعی، روشی کارآمد برای شناسایی نفوذگران در شبکه پیشنهاد شود. در روش پیشنهادی، با یاری گرفتن از یک سری معیارهای شباهت، میزان شباهت افراد در شبکه می شود. پس از آن افرادی که دارای کمترین میزان شباهت با افراد موجود در اجتماع خود می باشند را به عنوان نفوذگر شناسایی می شوند.
مطالب مربوط به این پایان نامه در پنج فصل آورده شده است که حاوی مطالب زیر می‌باشد.
فصل دوم. در این فصل اصول اولیه و مبانی نظری تحقیق مورد بررسی قرار خواهند گرفت.
فصل سوم. در این فصل روش های پیشین را بیان نموده و به بررسی مزایا و معایب هر یک خواهیم پرداخت.
فصل چهارم. در این فصل ابتدا به بررسی روش شبیه سازی شبکه و بررسی عوامل تاثیر گذار بر آن می پردازیم. سپس به شرح و توضیح روش پیشنهادی ما برای یافتن نفوذگران در شبکه خواهیم پرداخت.
فصل پنجم. آزمایشات انجام شده و نتایج به دست آمده از ارزیابی این پروژه در این فصل ارائه خواهند شد.
فصل ششم. در این فصل به بیان نتیجه گیری و ارائه کارهای آینده خواهیم پرداخت.
فصل دوم
مبانی نظری تحقیق
مقدمه
همانطور که در فصل قبل گفته شد، توانایی سیستمهای تشخیص نفوذ در شناسایی فعالیت های نفوذی چه از درون و چه از بیرون از سیستم اطلاعاتی، سبب شده تا این سیستم ها از اجزای بسیار ضروری در حفظ امنیت ساختارهای اطلاعاتی گردند. سیستم های تشخیص نفوذ دارای سه عملکرد اصلی می باشند:
نظارت و ارزیابی
شناسایی نفوذ
تعیین میزان خطر و اعلام آن
بر مبنای این که سیستم شناسایی نفوذ از چه روشی برای انجام عملکرد های فوق استفاده می کند و حوزه تحت بررسی آن، می توان این سیستم ها را دسته بندی کرد. در بخش 2-2 به بررسی معیارهایی می پردازیم که به ما در انجام این دسته بندی کمک می کنند. در این تحقیق تمرکز اصلی بر شناسایی نفوذگران در شبکه های کامپیوتری می باشد. در نتیجه در بخش 2-3 به معرفی جریان شبکه و بررسی بسته های داده می پردازیم. در ادامه جهت آشنایی بیشتر با فعالیت های نفوذگران در شبکه، در بخش 2-4 به بررسی انواع نفوذ و حمله در شبکه های کامپیوتری می پردازیم.
طبقه بندی سیستم های تشخیص نفوذ
همان طور که گفته شد، یک سیستم شناسایی نفوذ با نظارت بر فعالیت های کامپیوتری موجود در محیط و تحلیل آن، قادر به شناسایی فعالیتهای خبیثانه و آگاه کردن مدیر سیستم و یا مقابله با حمله میباشد. این سیستمها را بر اساس معیارهای متفاوتی میتوان دستهبندی کرد [18]:
منبع اطلاعاتی16
بر مبنای محل قرارگیری سیستم تشخیص نفوذ و نوع داده ای که مورد نظارت و بررسی قرار می گیرد، سیستم تشخیص نفوذ را می توان به دو گروه عمده تقسیم کرد:
سیستم تشخیص نفوذ مبتنی بر میزبان17
چنانچه اطلاعات مورد بررسی و تحلیل مرتبط با فعالیتهای یک سیستم کامپیوتری -مانند اطلاعات برنامهها، منابع و یا رویدادها- باشد، در این حالت سیستم شناسایی نفوذ مبتنی بر میزبان نامیده می شود. این سیستم ها در قالب یک نرم افزار بر روی سیستم عامل میزبان مورد نظر نصب شده و شناسایی را انجام می دهد. این سیستم ها معمولا دارای یک سرویس می‌باشند که در پس زمینه فعالیت عادی سیستم عامل انجام می‌شود. عملکرد سیستم های مبتنی بر میزبان بر مبنای پایش لاگ‌های ماشین، رویداد‌های سیستمی، فعل و انفعالات نرم افزارهای کاربردی و ارتباطات میزبان در شبکه می باشد. این سیستم معمولا در میان سرور‌هایی که دارای کانال‌های رمزنگاری شده هستند و یا دارای ارتباط با سایر سرور‌ها هستند، مورد استفاده قرار می‌گیرند.
دو مشکل اساسی در سیستم های شناسایی مبتنی بر میزبان وجود دارد که به سادگی قابل برطرف کردن نیستند. اولین مشکل، وابستگی به ساختار سیستم میزبان است، اگر سیستم عامل میزبان شما دچار تغییرات ناگهانی در تنظیمات شود، منابعی که سیستم شناسایی نفوذ از آن‌ها جهت شناسایی استفاده می‌کند دچار تغییرات می شود. در نتیجه نتایج تولید شده توسط سیستم دارای دقت نمی‌باشند. این باعث می‌شود که سیستم شناسایی نفوذ دچار اختلال شده و تصمیماتی که اتخاذ می‌کند صحیح نباشند. مشکل دیگری که در سیستم های مبتنی بر میزبان وجود دارد این است که بایستی برای تک تک سیستم‌هایی که نیاز به این سیستم دارند نصب و راه اندازی شود، همین موضوع می‌تواند مشکلات مدیریتی و دردسرهای نگهداری خاص خود را برای مدیران سیستم ایجاد کند.
یکی از مهم‌ترین و شاید بهترین قابلیت‌های سیستم های مبتنی بر میزبان، قابلیت گرفتن کد ایمنی18 از فایل‌های موجود بر روی سیستم است. این قابلیت به مدیر سیستم این امکان را می‌دهد که متوجه شود که آیا فایل‌های روی سیستم دستکاری شده‌اند یا خیر. در این حالت بازگردانی اطلاعات کار نسبتا ساده‌ای خواهد بود زیرا مدیر سیستم می‌داند که کدامیک از فایل‌ها دچار دستکاری و تغییر شده‌اند. به خاطر داشته باشید که سیستم‌های تشخیص نفوذ تحت میزبان دارای واکنش غیرفعال هستند.
سیستم تشخیص نفوذ مبتنی بر شبکه19
در صورتی که سیستم شناسایی نفوذ در بخشی از شبکه نصب گردد و از ترافیک شبکه جهت شناسایی نفوذ استفاده کند، آنگاه سیستم شناسایی نفوذ مبتنی بر شبکه نامیده میشود. سیستم های تشخیص نفوذ مبتنی بر شبکه نیاز به کلمه ی عبور برای برنامه های کاربردی، حقوق مربوط به سیستم عامل شبکه یا اتصالات مربوط به سیستم در هنگام اجرای نرم افزار ندارد. همچنین از آنجا که این سیستم ها در سطح لایه ی شبکه عمل می کنند، به سیستم عامل وابستگی ندارند. ضمناً هیچگونه سربار و تغییری روی سرویس دهنده ها و ایستگاه های کاری به وجود نمی آورند، چرا که برای این سیستم های تشخیص نفوذ نیازی به نصب ابزارهای اضافی نیست .عمدتا سیستم‌های تشخیص نفوذ تحت شبکه دارای واکنش فعال هستند.
سیستم های تشخیص نفوذ مبتنی بر شبکه از دو بخش ناظر20 و عامل21 تشکیل شده اند. ناظر قطعات و یا ترافیک شبکه را به منظور یافتن بسته های اطلاعاتی مشکوک بررسی می کند. عامل نرم افزاری است که معمولاً به طور جداگانه روی هر یک از کامپیوتر های مورد نیاز قرار می گیرد و نقش ارسال اطلاعات را به صورت بازخوردی به ناظر برعهده دارد. همچنین ممکن است بخش دیگری هم به نام کنسول مدیریت وجود داشته باشد که به شکلی مطمئن (با اعتبار سنجی و رمزنگاری) به ناظر متصل می شود و از آن گزارش دریافت می کند و نیز به تبادل اطلاعات مربوط به تنظیم پیکربندی سیستم می پردازد. این سیستم های تشخیص نفوذ با استفاده از تکنیک هایی مانند شنود بسته ها ، داده ها را از درون بسته های اطلاعاتی شبکه که در حال جریان و نقل و انتقال در شبکه می باشند، استخراج می کنند.
سیستم های شناسایی مبتنی بر شبکه دارای یک سری معایب هستند. به عنوان مثال به دلیل جمع آوری و تجزیه و تحلیل بسته های شبکه، در شبکه هایی با سرعت بالا دچار مشکل شده و قادر به عملکرد صحیح نیستند. به عنوان مثالی دیگر، چنانچه ترافیک شبکه رمز شده باشد، سیستم شناسایی نمی تواند حمله را تشخیص دهد. به طور کلی سیستم های شناسایی مبتنی بر شبکه، در شبکه های سوییچ شده دچار مشکل هستند.
بسته های داده در شبکه دارای دو بخش عنوان22 و محتوا23 می باشند. برخی سیستم شناسایی نفوذ تنها از اطلاعات موجود در قسمت عنوان استفاده می کنند که با نام روش های مبتنی بر جریان24 شناخته می شوند. برخی دیگر از تمامی محتوای بسته اطلاعاتی استفاده می کنند که با نام روش های مبتنی بر بسته25 شناخته می شوند. این دو روش در فصل 3 به تفصیل بررسی می شوند.
روش تحلیل
دو رویکرد کلی جهت تحلیل ترافیک مشکوک در سیستمهای اطلاعاتی وجود دارد.
رویکرد مبتنی بر امضا26
این رویکرد به دنبال یافتن امضایی از حملات شناخته شده در بستههای شبکه میباشد امضای حملات باید به دقت و توسط افراد متخصص از حملات روی داده شده استخراج و در بانک داده مربوط به سیستم شناسایی ذخیره گردند. تکنیکهایی که از این رویکرد استفاده میکنند، دارای نرخ تشخیص و سرعت بالایی بوده و در کاربردهای تجاری از آنها کمک میگیرند. در عین حال با توجه به رشد انفجاری و ظهور انواع متفاوت حملات، به روز نگه داشتن پایگاه داده امضاها بسیار مشکل است. از این رو قادر به شناسایی حملات جدید نمیباشند.
رویکرد مبتنی بر ناهنجاری27
این رویکرد در زمینههای تحقیقاتی بسیار مورد توجه است، یک مدل از ترافیک نرمال شبکه ایجاد میشود و در صورتی که ترافیک دریافتی تفاوت قابل ملاحظه ای با مدل نرمال داشت، آن را به عنوان ترافیک نا بهنجار و نشانه نفوذ، شناسایی میکنند. مزیت اصلی تکنیک های مبتنی بر این روش، قابلیت شناسایی حملات نوظهور می باشد. همچنین نیازی به استفاده از افراد خبره برای تولید مدل نرمال ندارد و این مدل به صورت اتوماتیک تولید می شود. علی رغم قابلیت تطبیقپذیری روشهای مرتبط با این رویکرد، شناسایی رفتار نرمال بسیار چالش برانگیز است. در نتیجه، در شرایطی که رفتار نرمال به صورت صحیح مدل سازی نشود، این رویکرد دارای نرخ خطای قابل ملاحظهای میباشد. به عنوان مثال، تغییرات ناگهانی پیش آمده در سیستم ممکن است به عنوان رفتار ناهنجار شناسایی شوند. از سویی دیگر ممکن است قادر به شناسایی حملات شناخته شده نباشد چرا که برمبنای مدل نرمال تعریف شده، رفتار متفاوتی از خود بروز نمی دهند.
نحوه نظارت28
سیستم شناسایی نفوذ، میتواند به شکل ایستا عمل کرده و به صورت دورهای از محیط، نمونههای تکی29 تهیه کرده و تحلیل خود را بر اساس آن انجام دهد. این سیستم، همچنین می تواند به صورت برخط30 از محیط به صورت پیوسته31 نمونه تهیه کند و به شکل پویا مورد استفاده قرار گیرد.
روش پاسخگویی32
یک سیستم شناسایی نفوذ به دو شیوه در برابر نفوذ شناسایی شده قادر به پاسخگویی است. روش غیرفعال33، که در آن سیستم شناسایی، تنها مدیر سیستم را از رویداد امنیتی پیش آمده آگاه میکند. روش فعال34، کنترل سیستمی را که مورد حمله قرار گرفته در دست می گیرد و اعمالی از قبیل بیرون کردن کاربر از سیستم، قطع اتصال سیستم با شبکه، خاتمه دادن به پردازش های مشکوک و … را انجام می دهد. در ادامه به چگونگی این عملکرد دو روش به تفصیل آورده شده است:
روش غیرفعال
معمول‌ترین واکنشی است که به بیشتر نفوذ‌ها در شبکه انجام می‌شود. در واقع واکنش‌های غیرفعال ساده‌ترین و راحت‌ترین واکنش در برخورد با نفوذ‌ها برای پیاده سازی و توسعه هستند. استراتژی‌های واکنش‌های غیر فعال شامل موارد زیر است:
ثبت وقایع35: این روش شامل ضبط کردن کلیه رویدادهای شبکه است که اتفاق می‌افتند و همچنین چگونگی رخ دادن آن‌ها را نیز نمایش می‌دهد. ثبت وقایع بایستی به شکلی اطلاعات را در اختیار مدیران قرار دهند که آن‌ها بتوانند از طریق این داده‌ها ذات حمله و چگونگی به وقوع پیوستن آن را ارزیابی کنند. این اطلاعات بعد‌ها می‌توانند برای طراحی راهکار‌ها برای مقابله با تهدیدات مورد استفاده قرار بگیرند.
آگاه سازی36: آگاه سازی در واقع ارتباطی است که از طریق آن اطلاعات مربوط به رویداد اتفاق افتاده به شخص مسئول آن ارسال می‌شود. این شامل هرگونه اطلاعاتی است که می‌تواند به مدیر سیستم کمک کند تا در مورد حادثه درک بهتری داشته باشد. اگر سیستم تشخیص نفوذ بصورت تمام وقت مشغول به فعالیت است، پیام‌ها بر روی کنسول مدیریتی نمایش داده خواهد شد تا زمانیکه مسئول سیستم آن‌ها را مشاهده و نظارت کند.
چشم پوشی37: چشم پوشی از حمله یک واکنش معمول در برابر حملات ناکارآمد است. برای مثال سیستم تشخیص نفوذ شما از بروز حمله از نوع حملات به وب سرور IIS به سیستمی گزارش می‌دهد که دارای وب سرور آپاچی می‌باشد، در این حالت نیازی به انجام هیچگونه عمل متقابلی نخواهد بود زیرا حمله بطور یقین ناکارآمد خواهد بود. خوب در چنین شرایطی با توجه که مطمئن هستیم که حملاتی که بر روی IIS انجام می‌شوند بر روی آپاچی موثر نخواهند بود، نیازی به صرف وقت و هزینه برای مقابله با آن وجود ندارد.
روش فعال
واکنش فعال بدین معناست که سیستم تشخیص نفوذ در مقابل حمله یا تهدید موجود عکس العمل نشان دهد. هدف واکنش فعال انجام دادن سریع‌ترین عمل ممکن در جهت کاهش تاثیرات احتمالی رویدادی است که اتفاق افتاده است. این نوع از واکنش‌ها برای اینکه بتوانند موثر باشند نیازمند طراحی اولیه برای شیوه برخورد با رویداد‌ها، خط مشی‌های واضح و صریح تبیین شده و همچنین هوشیاری خاصی می‌باشند. واکنش‌های فعال شامل عکس العمل‌هایی هستند که در ادامه بصورت خلاصه با برخی از آن‌ها آشنا خواهیم شد:
خاتمه اتصال: در این حالت پس از تشخیص نفوذ اتصال میزبان مشکوک به شبکه را پایان می دهد.
تغییر تنظیمات شبکه: اگر حملات بصورت دائمی از سمت یک آدرس مشخص انجام شود، سیستم تشخیص نفوذ این توانایی را دارا است که به فایروال یا مسیریاب شبکه دستور دهد که تمامی درخواست‌های ارتباط و ترافیکی که از آدرس مشکوک به سمت سرور روانه می‌شود را قطع ارتباط و رد کند. این نوع دستوراتی که از سمت سیستم تشخیص نفوذ برای فایروال‌ها یا مسیریاب‌ها صادر می‌شود هم می‌تواند بصورت دائمی اعمال شود و هم اینکه می‌تواند در دوره های زمانی معین شده اعمال گردند.
فریب دادن38: در این فرآیند به مهاجم اینطور القاء می‌شود که حمله وی موفقیت آمیز بوده است، در همین حین سیستم در حال نظارت و پایش مهاجم بوده و وی را به سمت یک سیستم که برای هک شدن – ظرف عسل 39- ساخته شده است هدایت می‌کند. این روش به مدیر سیستم این امکان را می‌دهد که بتواند بر روی مهاجم متمرکز شده و روش‌ها و تکنیک‌هایی که مهاجم در حمله استفاده می‌کند را شناسایی و چگونگی انجام شدن حمله را بررسی کند. پیاده سازی این فرآیند آسان نیست و همچنین اجازه دادن به یک مهاجم برای ورود به شبکه حتی در حالتی که وی پایش می‌شود کار بسیار خطرناکی است. لیکن فریب دادن به شما این اجازه را می‌دهد که براحتی و بدون به خطر انداختن اطلاعات اصلی مستندات بسیار خوبی در خصوص حمله جمع آوری کنید.
تصمیمگیری در مورد اینکه، سیستم شناسایی نفوذگر از چه روشی جهت نظارت، تحلیل و پاسخگویی استفاده کند به عوامل متعددی بستگی دارد. از جمله این عوامل میتوان به ویژگیها و نیازمندیهای کاربرد موردنظر، میزان اهمیت و حساسیت سیستم اطلاعاتی، سیاستهای امنیتی مدیران سیستم اطلاعاتی و … اشاره کرد. در عکس شماره 1 خلاصه ای از دسته بندی ارائه شده از سیستم های شناسایی نفوذ در قالب عکس ارائه شده است.

دسته بندی سیستم های شناسایی نفوذ
جریان شبکه
در دهه اخیر با توجه به بالا رفتن سرعت شبکه های کامپیوتری، روش های نظارت و شناسایی مبتنی به جریان شبکه بسیار مورد توجه قرار گرفته اند. به طوری که تولید کنندگان قطعات و توسعه دهندگان شبکه های کامپیوتری، به استفاده از قطعاتی که استاندارد جریان شبکه را پشتیبانی می کنند تاکید دارند[6]
تعریف جریان شبکه
در حوزه شبکه های کامپیوتری، تعریفات متفاوتی از جریان شبکه وجود دارد. بر اساس استاندارد IETF جریان شبکه عبارت است از مجموعه ای از بسته های داده در شبکه می باشد که در یک بازه زمانی تعریف شده از محل مورد بررسی عبور می کند. تمامی بسته های مرتبط با یک جریان شبکه دارای یک سری ویژگی های مشترک می باشند [7 و 8]. این ویژگی ها که به آنها شاخص های جریان نیز گفته می شود به طور عمومی شامل موارد زیر می باشند[3]:
آدرس مبدا
آدرس مقصد
پورت مبدا
پورت مقصد
پروتکل مورد استفاده
البته شاخص های جریان شبکه دیگری نیز مطرح می شوند[9] که مدیر شبکه بر مبنای نیاز شبکه خود می توانند از شاخص های مناسب استفاده کند. نظارت بر جریان شبکه یک پردازش دو مرحله ای می باشد:
صادر کردن40 جریان
این کار توسط جز صادرکننده41 در شبکه انجام می شود که به آن نقطه نظارت42 نیز گفته می شود. به طور معمول یک مسیریاب و یا یک قطعه سخت افزاری است که قابلیت پشتیبانی از جریان شبکه را دارا می باشد. جز صادرکننده وظیفه ساخت جریان شبکه را از ترافیک عبوری شبکه بر عهده دارد که به آن عملیات اندازه گیری43 نیز می گویند. در این عملیات عنوان بسته های عبوری از نقطه نظارت ضبط شده و بر مبنای پیکربندی شبکه نمونه برداری و فیلتر کردن عنوان ها صورت می گیرد. در نهایت عملیات بروز رسانی44 بانک داده ای مربوط به جریانات شبکه انجام می گیرد.
جمع آوری جریان45
مرحلهجمع آوری جریانات شبکه توسط جزء جمع کننده46 انجام می پذیرد. وظیفه جمع کننده، دریافت جریان شبکه ضبط شده توسط صادرکننده و ذخیره آن به فرمی مناسب جهت نظارت و تحلیل می باشد.
در شکل شماره 2 زیر می توانید معماری مرتبط با عملیات صدور و جمع آوری جریان شبکه از ترافیک عبوری را مشاهده کنید[10و 12].
عملیات صدور و جمع آوری جریان شبکه
انواع حملات
برای این که درک بهتری از روند الگوریتم های شناسایی نفوذ داشته باشیم، در این بخش مروری کلی بر انواع حملات موجود خواهیم داشت. دسته بندی های متفاوتی از حملات در حوزه امنیت شبکه وجود دارد[13 و 14].
حملات فیزیکی47: با هدف آسیب رساندن به کامپیوترها و سخت افزار شبکه راه اندازی می شوند.
سرریزی حافظه میانگیر48: این نوع حملات کنترل یک پردازش در سیستم قربانی را به دست گرفته و با سرریز کردن بافر مرتبط با پردازش مورد نظر در سیستم ایجاد اخلال می کند.
حملات رمز عبور49: در یک سیستم محافظت شده، این نوع حمله به دنبال یافتن رمز عبور و یا راهی جهت نفوذ به سیستم می باشند.
حملات محدود کننده سرویس50: این حملات کاربران مجاز را با شرایطی مواجه می کنند که دسترسی به سرویس های مورد تقاضا امکان پذیر نبوده و یا به سختی صورت می پذیرد.
سرقت اطلاعات51: در این نوع حمله سیستم قربانی به طور مستقیم آسیب نمی بیند. نفوذگران به دنبال جمع آوری اطلاعات جهت حملات احتمالی در آینده می باشند.
حملات اسب تروجان52: برنامه هایی در ظاهر مفید و کاربردی وارد سیستم قربانی شده و حمله را راه اندازی می کنند.
ویروس ها53: برنامه های مخربی که خود را با کمک تعامل فریبنده با کاربر در سیستم قربانی منتشر می کنند. به عنوان مثال خود را به یک فایل اجرایی وصل کرده و توسط آن فعالیت خود را شروع می کند.
کرم ها54: این نوع حملات، برنامه هایی هستند که خود را در شبکه منتشر می کنند. خاصیت خودانتشاری55 سبب تفکیک حملات ویروس و کرم از یکدیگر می شود. دارای سرعت انتشار بسیار بالایی نسبت به ویروس ها هستند.
حملات Botnet: گروهی از کامپیوترهای آلوده56 از راه دور توسط یک فرمانده57 هدایت و کنترل می شوند. این گروه از کامپیوترهای آلوده زیربنای مناسبی جهت راه اندازی حملات گسترده مانند انتشار هرزنامه58، کرم و … می باشند.
فصل سوم
پیشینه تحقیق
مقدمه
همان طور که در فصل 2 ذکر شد، سیستم شناسایی نفوذ مبتنی بر شبکه از دو رویکرد کلی جهت انجام شناسایی استفاده می کنند. این دو رویکرد بر مبنای این که ترافیک عبوری در شبکه چگونه بررسی می شود، شکل گرفته



قیمت: تومان

دسته بندی : پایان نامه

پاسخ دهید