کتاب حملات ‏DOS ‏و ‏شبکه ‏عصبی ‏هوشمند

فهرست
عنوان صفحه
فصل اول 11
مقدمه 11
فصل دوم 15
مقدمه: 15
فایروال: 15
سیستم تشخیص نفوذ: 18
نواع سیستم IDS: 24
روش‌های تشخیص نفوذ: 27
مطالعات 31
فصل سوم 37
مقدمه: 37
شبکه عصبی ANN: 38
تحت نظارت 38
بدون دخالت انسان 38
روش پیشنهادی: 41
فصل چهارم 45
معرفی دیتاست: 45
معیارهای ارزیابی: 47
مقایسه با سایر روشها: 50
فصل پنجم 61
نتیجه گیری: 61
موارد کاربرد: 69
منابع و مآخذ 71

سیستم تشخیص نفوذ:

سیستم های تشخیص نفوذ (IDS[1]) به طور کلی به دو نوع تقسیم می‌شوند: سیستم های تشخیص ناهنجاری و سیستم­های سوءاستفاده. در نوع سوءاستفاده، دستورالعمل­ها بر اساس پارامترهای ضعف سیستم و امضاهای شناخته شده شناسایی می‌شوند. با این حال، حملات جدید و یا ناآبعضانه را تشخیص نمی­دهند. از سوی دیگر، IDS به پارامترهای رفتار طبیعی توجه نشان می­دهد و از آنها برای مشخص کردن هر اقدامی که به طور قابل توجهی از رفتار عادی متفاوت است، استفاده می­کند. مکانیزم تشخیص سوء استفاده، ورودی­ها را با تطبیق الگوهای نفوذ موجود با الگوهای قبل سیستم شناسایی می­کند. اطلاعات ارزشمند سیستم همیشه برای مهاجمان جذاب است و بنابراین در حملات متمرکز شبکه آسیب پذیر هستند. نفوذ به فرایندی زمانی اشاره می­کند که مهاجم وارد سیستم یا سرور سیستم می­شود و بسته­های مخرب را به سیستم کاربر منتقل می­کند تا بتواند اطلاعات محرمانه یا مهم را سرقت، اصلاح یا خراب کند؛ به عبارت دیگر حمله به حمل غیرمجاز بسته­های شبکه از طریق شبکه اشاره می­کند [2].

سیستم­های تشخیص نفوذ در حقیقت سوءاستفاده­های در حال انجام سیستم را شناسایی می­کند. برای این کار با استفاده از روش­هایی مانند پویش پورت­های سیستم و یا آنالیز ترافیک شبکه و یا خوشه­بندی می­توان داده­های ناهنجار و یا نفوذ را در سیستم تشخیص داد. البته برای اینکه این سیستم­ها بتوانند ترافیک­ها و یا مورادی را که از قبل در سیستم وجود نداشته­اند و برای سیستم تعریف نشده­اند را شناسایی کنند نیاز دارند تا بتوانند به صورت هوشمند عمل کنند. به همین علت در این سیستم­ها استفاده از روش­هایی که دارای یادگیری باشند مانند شبکه عصبی و یا یادگیری ماشین دارای اهمیت است [3].

در تمامی سیستم­های IDS روالی کلی طی می­شود. در ابتداء داده­ها وارد سیستم می‌شوند و سپس بر روی این داده­ها پیش پردازش انجام می­شود که شامل نرمال­سازی و حذف مقادیر گمشده و یا مبهم از دیتاست است. در مرحله بعد تشخیص و شناسایی حمله قرار دارد. پس از شناسایی حمله یک پیام یا اعلان به کاربر داده می­شود [1].

نکته بسیار مهمی که در سیستم­های تشخیص نفوذ وجود دارد این است که در برخی موارد حملات به اشتباه تشخیص داده می‌شوند و لذا تعداد اعلان­ها به کاربر هم افزایش می­یابد. سیستم های تشخیص نفوذ برای بسیاری از سازمان ها، از دفاتر کوچک تا شرکت­های چند ملیتی، ضروری هستند. برخی از فواید این سیستم­ها عبارت اند از [5]:

1)کارایی بیشتر در تشخیص نفوذ، در مقایسه با سیستم­های دستی

2)منبع دانش کاملی از حملات

3)توانایی رسیدگی به حجم زیادی از اطلاعات

4)توانایی هشدار نسبتاً بلادرنگ که باعث کاهش خسارت می­شود.

یکی از مشکلات بسیار مهم، تعداد بسیار زیاد هشدارهای تولید شده از سامانه های امنیتی شبکه است. دلایل اصلی این حجم زیاد هشدارها، دقیق نبودن تعریف رویدادها، وجود ناسازگاری‌هایی در سامانه‌ی تحت نظارت و گاهی وجود واقعی حجم زیاد تهاجم یا رفتارهای غیرمجاز، با هدف گمراه کردن ناظر سامانه از هدف اصلی حمله­کننده یا حمله­کنندگان است [8].

نمونه دیگری از سیستم­های تشخیص نفوذ مبتنی بر امضا هستند. تشخیص نفوذ مبتنی بر امضا تلاش می­کند مجموعه­ای از قوانین یا امضاها یا پایگاه دانش را تعریف کند که تا تصمیم بگیرد که یک الگوی داده شده به صورت یک مزاحم است یا خیر. در نتیجه سیستم­های امضایی قادر به دستیابی به سطح بالایی از دقت و حداقل تعداد اعلان اشتباه در شناسایی نفوذ می­باشند؛ بنابراین، تشخیص مبتنی بر امضا یک راه حل کارآمد برای شناسایی حملات شناخته شده است اما قادر به شناسایی حملات ناشناخته یا تغییرات حملات شناخته شده نیست. یکی از دلایل انگیزشی برای استفاده از تشخیص مبتنی بر امضا، سهولت در حفظ و به روزرسانی قوانین از پیش تعیین شده است. این امضا ها توسط چندین عنصر تشکیل شده­اند که ترافیک را شناسایی می­کنند. به‌عنوان مثال، در SNORT قسمت­هایی از یک امضا، هدر (به‌عنوان مثال آدرس منبع، آدرس مقصد، پورت ها) و گزینه­های آن (مثلا loadload، metadata) است که برای تعیین اینکه آیا ترافیک شبکه مطابق با یک امضا معروف است یا خیر به کار می­رود [9].

تشخیص آنومالی (یا رفتاری) مربوط به شناسایی حوادثی است که به نظر میرسد با رفتار معمولی سیستم ناهمگون است. طیف گسترده­ای از تکنیک­های شامل داده کاوی، مدل سازی آماری و مدل های پنهان مارکوف به‌عنوان راه­های مختلف برای رسیدگی به آنومالی مورد بررسی قرار گرفته است.­مشکل تشخیص رویکرد مبتنی بر آنومالی شامل جمع آوری اطلاعات مربوط به رفتار کاربران مشروع در یک دوره زمانی می شود و سپس آزمون های آماری را به رفتار مشاهده شده اعمال می­کند که تعیین می­کند که آیا این رفتار مشروع است یا خیر. عنصر کلیدی برای استفاده از این رویکرد به طور موثر، تولید قوانین به گونه ای است که می تواند میزان هشدار اشتباه را برای حملات نامشخص و همچنین شناخته شده کاهش دهد [9].

انواع سیستم IDS:

در سیستم­های کشف نفوذ اجزا زیر وجود دارند [10]:

1-سیستم کشف حملات شبکه یا NIDS[1]

تجزیه و تحلیل و آنالیز ترافیک عبوری از کل شبکه را بر عهده دارد. این قسمت ترافیک عبوری از شبکه را با پایگاه داده موجود در خود مطابقت داده و در صورت تشخیص یک حمله یا تشخیص رفتار غیر نرمال در شبکه آن را به مدیر شبکه اطلاع می­دهد.

سیستم NIDS

این سیستم­های مبتنی بر شبکه دارای معایبی نیز هستند که از جمله آنها می­توان به موارد زیر اشاره کرد [11]:

1-در برخی سیستم­ها سرعت بالا در شبکه مشکل ساز می­شود و به دلیل اینکه این سیستم­ها قادر به جمع­آوری داده­ها با سرعت بالا نیستند ممکن است تعدادی از بسته­های شبکه را از دست بدهند.

-این سیستم­ها به صورت محلی کار می­کنند یعنی فقط به ترافیک قسمتی نظارت دارند که در آنجا هستند.

3-تعداد گزارشات در این روش زیاد است لذا به فردی متخصص نیاز است تا این گزارشات را تجزیه و تحلیل کند.

4-این سیستم با رمزگذاری سازگاری ندارد و برای همین اگر در شبکه بسته­های رمزگذاری شده وجود داشته باشد این سیستم به مشکل بر می­خورد.

2-سیستم تشخیص حمله نودها یا NNIDS[1]:

تجزیه و تحلیل و آنالیز ترافیک عبوری شبکه به یک میزبان مشخص را بررسی می­کند. تفاوت بین NIDS و NNIDS در این است که در این بخش ترافیک به سمت یک میزبان خاص بررسی می­شود ولی در حالت قبل ترافیک کل میزبان­ها بررسی می­شود [12].

3-سیستم تشخیص حمله به میزبان یا HIDS[2]:

یک تصویر فوری از فایل­های موجود در سیستم گرفته و با تصویر گرفته‌شده قبلی مقایسه می­کند. اگر تغییری ایجاد شده باشد یا فایلی حذف شده باشد این تغییر را به مدیر سیستم اعلام می­کند [13].