توضیحات
عنوان فارسی: بهبود روش تشخیص نفود با کمک داده کاوی
- فصل 1 مروری برسیستم های تشخیص نفوذ
- تاریخچه سیستم های تشخیص نفوذ
- Audit Analysis Project
- Discovery
- Haystack
- MIDAS
- NSM
- مفاهیم کلی تشخیص نفوذ
- معماری سیستم های تشخیص نفوذ
- روش های دریافت اطلاعات
- روش های آنالیز
- زمانبندی
- روش های پاسخ
- کنترل سیستم
- منابع اطلاعات
- منابع اطلاعات سیستم مبتنی بر میزبان
- منابع اطلاعات سیستم مبتنی بر شبكه
- آنالیز و تکنیک های تشخیص نفوذ
- تشخیص سوءاستفاده
- تشخیص ناهنجاری
- سایر تکنیک ها
- تکنیکهای پاسخ
- پاسخ فعال
- پاسخ غیرفعال
- معرفی دو سیستم تشخیصنفوذ نمونه
- Snort
- Tripwire
- فصل 2 داده كاوی و تكنیكهای بهبود تشخیص نفوذ
- مقدمه ای بر داده کاوی
- چه چیزی سبب پیدایش داده كاوی شده است؟
- مراحل كشف دانش
- داده كاوی چه كارهایی نمی تواند انجام دهد؟
- داده كاوی و انبار داده
- داده كاوی و OLAP
- كاربرد یادگیری ماشین و آمار در داده كاوی
- توصیف داده ها در داده كاوی
- خلاصه سازی و به تصویر در آوردن داده ها
- خوشه بندی
- تحلیل لینك
- مدل های پیش بینی داده ها
- Classification
- Regression
- Time series
- مدل ها و الگوریتم های داده کاوی
- شبکه های عصبی
- درخت تصمیم
- Multivariate Adaptive Regression Splines(MARS)
- Rule induction
- Knearest neibour and memorybased reansoning(MBR)
- رگرسیون منطقی
- تحلیل تفکیکی
- مدل افزودنی كلی
- Boosting
- سلسله مراتب انتخابها
- بهبود تشخیص ناهنجاری با استفاده از تكنیكهای داده كاوی
- تکنیک های تشخیص ناهنجاری نظارت شده
- تکنیک های تشخیص ناهنجاری بدون نظارت
- تکنیک های تشخیص ناهنجاری ترکیبی
- فصل 3 مدل های ارائه شده
- روش دو مرحله ای برای بهبود سیستم های تشخیص نفوذ مبتنی بر الگوریتم های دادهکاوی
- مقدمه
- توصیف مدل
- جمع بندی
- اجرای سیستم های تشخیص نفوذ مبتنی بر تکنولوژی بهبود یافته ی داده کاوی
- مقدمه
- جمع بندی
- طراحی و پیاده سازی سیستم های بهبود تشخیص نفوذ با استفاده از داده کاوی
- مقدمه
- جمع بندی
- استفاده از الگوریتمهای دادهکاوی در سیستمهای تشخیص نفور غیرمجاز مبتنی بر عاملهای سیار در شبکههای کامپیوتری
- استفاده از فناوری عاملهای سیار
- بررسی عملکرد یک سیستم مبتنی بر عامل
- اهداف طراحی سیستم
- اجزای سیستم مبتنی بر عامل
- نتیجه گیری
- فصل 4 نتیجه گیری
- منابع
فصل 1- مروری برسیستم های تشخیص نفوذ
از دهه ۱۹۷۰که مبحث سیستمهای تشخیصنفوذ مطرح شد، تحقیقات بسیاری در این زمینه صورت گرفته است. یک سیستم تشخیصنفوذ عبارت است از یک یا چند سیستم که توانایی تشخیص تغییرات و رفتارهای خاصی در یک میزبان و یا شبکه را دارا باشند. در این بخش به صورت مختصر مفاهیم کلی سیستمهای تشخیصنفوذ شرح داده میشود.
1-1- تاریخچه سیستم های تشخیص نفوذ
با افزایش سرعت، کارایی، تعداد و ارتباط کامپیوترهای در دهه ،۱۹۷۰نیاز به سیستمهای امنیتی رشد بسیاری پیدا کرد. در سالهای ۱۹۷۷و ۱۹۷۸سازمان بین المللی استاندارد، جلسهای را مابین دولتها و ارگانهای بازرسی EDP [1]تشکیل داد که نتیجه آن جلسه، تهیه گزارشی از وضعیت امنیت، بازرسی و کنترل سیستمها در آن زمان بود. در همین زمان وزارت نیروی کشور آمریکا به علت نگرانی از اوضاع امنیتی سیستمهای خود، تحقیق بسیار دقیقی را در مورد بازرسی و امنیت سیستمهای کامپیوتری شروع کرد. این کار توسط فردی به نام James P. Andersonانجام شد[18].
Andersonاولین فردی است که مقالهای در رابطه با لزوم بازرسی خودکار امنیت سیستمها ارائه داد. گزارش
Andersonكه در سال ۱۹۸۰تهیه شد را میتوان به عنوان هسته اولیه مفاهیم تشخیصنفوذ معرفی کرد. در این گزارش مکانیزمهایی برای بازرسی امنیت سیستمها معرفی شد و همچنین مشخص شده است که در صورت بروز خرابی در سیستم چگونه با آن مقابله شود.
در سالهای ۱۹۸۴تا Dorotty Denning ،۱۹۸۶و Peter Neumannتحقیقاتی در زمینه امنیت سیستمهای کامپیوتری انجام دادند که نتیجه آن تولید یک سیستم تشخیصنفوذ به صورت real-timeبود که بر اساس سیستمهای خبره عمل میکرد. این سیستم IDES [2]نامگذاری شد. در این پروژه ترکیبی از تشخیص ناهنجاری و تشخیص سوءاستفاده مورد بررسی قرار گرفته بود.ایده مطرح شده در این پروژه به عنوان پایه خیلی از سیستمهای تشخیص نفوذ که از آن به بعد ایجاد شدند مورد استفاده قرار گرفت.
گزارش Andersonو تحقیقاتی که بر روی پروژه IDESصورت گرفت، شروع کننده زنجیرهای از تحقیقات در
رابطه با سیستمهای تشخیصنفوذ بودند. در ادامه تعدادی از سیستمهای مطرح که از آن تاریخ به بعد به وجود آمدندپرداخته میشود:
1-1-1- Audit Analysis Project
در سالهای ۱۹۸۴تا ۱۹۸۵یک گروه در Sytekپروژهای را به دستور نیروی دریایی آمریکا شروع کردند. هدف از انجام این پروژه تهیه یک روش اتوماتیک برای جمعآوری دادههای سطح پوسته [3]برای سیستمعامل Unixبود. دادههای جمعآوری شده سپس مورد آنالیز قرار میگرفتند. در این پروژه توانایی جدا کردن رفتار مطلوب از رفتار غیرمطلوب نشان داده شده بود.
1-1-2- Discovery
Discoveryیک سیستم مبتنی بر سیستمهای خبره میباشد که برای تشخیص و جلوگیری از بروز مشکلات در بانک اطلاعات شرکت اعتباری TRWبه وجود آمده بود. این سیستم تا حدی با سیستمهای تشخیصنفوذ زمان خود متفاوت بود. در این سیستم بر خلاف سایر سیستمهای تشخیصنفوذ که فعالیتهای سیستمعامل را مورد بررسی قرار میدادند، logهای بانکهای اطلاعاتی را مورد بررسی قرار میداد. هدف از کار Discoveryتهیه گزارش از عملکردهای غیرمجاز با بانک اطلاعاتی بوده است. در این پروژه از مدلهای آماری برای آنالیز دادهها استفاده و به زبان Cobolنوشته شده است.
1-1-3- Haystack
موتور پردازشگر این سیستم به زبان ANSI Cو SQLنوشته شده است. این سیستم توانایی تشخیص ناهنجاریها را با استفاده از حالت batch modeرا دارا بود. برای انجام این کار اطلاعات به صورت متناوب جمعآوری و عمل پردازش بر روی آنها صورت میگرفت.
1-1-4- MIDAS
MIDAS [4]توسط NCSC [5]پیادهسازی شد که هدف از آن بررسی سیستمهای Dockmaster [6]بود. در این سیستم اطلاعات جمعآوری و طبقهبندی میشدند. سپس این اطلاعات که هر طبقه نشاندهنده یک ارتباط بود با رفتار کاربران مقایسه میشدند. با انجام این مقایسه میتوانستند رفتارهای غلط و رفتارهای غیرمعمول را تشخیص دهند. MIDASتوسط زبان LISP پیادهسازی شده است. در این سیستم از سیستمهای خبره برای عمل پردازش استفاده شده است.
1-1-5- NSM
NSM [7]توسط دانشگاه کالفرنیا پیادهسازی شده است. این سیستم را میتوان به عنوان اولین سیستم تشخیصنفوذ نام برد که از اطلاعات شبکه به عنوان منبع اطلاعات استفاده میکرده است. پیش از این سیستم، سایر سیستمهای تشخیصنفوذ عمل خود را بر اساس اطلاعات جمعآوری شده از سیستمعامل و یا logهای برنامهها، انجام میدادند. از این زمان به بعد، عملکرد NSMدر بسیاری از محصولات دیگر مورد استفاده قرار گرفت. روش کار NSMبه طور کلی عبارت است از:
- قرار دادن کارت شبکه در حالت promiscuous
- جمعآوری بستههای شبکه
- جدا کردن اطلاعات لایههای مختلف
- آنالیز اطلاعات تفکیک شده
1-2- مفاهیم کلی تشخیص نفوذ
در این بخش به بیان مفاهیم اصلی سیستمهای تشخیض نفوذ پرداخته میشود[17].
1-2-1- معماری سیستم های تشخیص نفوذ
یک سیستم تشخیصنفوذ به صورت کلی دارای بخشهای زیر میباشد:
- بخش جمع کننده اطلاعات
این بخش وظیفه جمعکردن اطلاعات را برعهده دارد. برای مثال این بخش باید بتواند تغییرات رخ داده شده در فایل سیستم و یا عملکرد شبکه را تشخیص دهد و اطلاعات لازم را جمعآوری کند.
- بخش بازبینی سیستم
هر سیستم تشخیصنفوذ باید دارای بخشی باشد که خود سیستم را از نظر عملکرد بررسی کند. به این ترتیب میتوان از صحت عملکرد سیستم، اطمینان حاصل کرد.
- بخش ذخیره اطلاعات
هر سیستم تشخیصنفوذ اطلاعات خود را در محلی ذخیره میکند. این محل میتواند یک فایل متن ساده و یا آنکه یک بانک اطلاعاتی باشد.
- بخش کنترل و مدیریت
توسط این بخش کاربر میتواند با سیستم تشخیصنفوذ ارتباط برقرار کند و دستورات لازم را به آن بدهد.
- بخش آنالیز
این بخش سیستم تشخیصنفوذ، وظیفه بررسی اطلاعات جمعآوری شده را بر عهده دارد.
با توجه به نحوه قرار گرفتن هر یک از بخشهای یک سیستم تشخیصنفوذ، معماریهای مختلفی برای آن به وجود میآید.
در رابطه با معماری سیستمهای تشخیصنفوذ، دیدگاه دیگری نیز وجود دارد که از این دیدگاه، دو معماری کلی را میتوان در نظر گرفت:
- سیستم تحت حفاظت و سیستم تشخیصنفوذ در یک محل باشند.
- سیستم تحت حفاظت و سیستم تشخیصنفوذ به صورت جداگانه قرار گیرند.
جدا کردن سیستم تشخیصنفوذ از سیستم تحت حفاظت دارای مزایایی است:
- جلوگیری از پاک شدن رکوردهای ذخیره شده توسط سیستم تشخیصنفوذ
- جلوگیری از تغییر اطلاعات توسط شخص نفوذ کننده
- بالا بردن کارایی با کم کردن بار پردازشی بر روی سیستم تحت حفاظت
1-2-2- روش های دریافت اطلاعات
اولین نیاز سیستمهای تشخیصنفوذ وجود منبع اطلاعات است. این منبع میتواند به عنوان یک تولیدکننده رویداد در نظر گرفته شود. منابع اطلاعات به روشهای مختلفی قابل دستهبندی هستند. در سیستمهای تشخیصنفوذ این منابع با توجه به مکانشان دستهبندی میشوند. با توجه به این معیار، دو دسته کلی به وجود خواهد آمد.
- مبتنی بر میزبان
در این دسته، اطلاعات بر اساس منابع داخل میزبان که اکثراً در سطح سیستمعامل میباشند جمعآوری میشوند. این منابع شامل logها و دنبالههای بازرسی [8]هستند. اگر از یک دید بالاتر به قضیه نگاه شود، در سیستمهای مبتنی بر میزبان دو دسته دیگر منبع اطلاعات به وجود خواهد آمد که عبارتند از:
- مبتنی بر برنامههای كاربردی[9]
در این دسته، اطلاعات بر اساس برنامههای کاربردی که در حال اجرا هستند جمعآوری میشوند. این منابع شامل logهای رویدادها برای برنامههای کاربردی و یا سایر اطلاعات ذخیره شده بر اساس آنها میباشد.
- مبتنی بر هدف[10]
این دسته با سایر دستهها تفاوت دارد، به علت اینکه در این دسته، سیستم مبتنی بر هدف اطلاعات مربوط به خود را، خود تولید میکند به این معنی که خود سیستم، اشیاء با اهمیت سیستم را مشخص و برای هر یک مشخصاتی را بدست میآورد. سپس به صورت متناوب با مقایسه این مشخصات با مقادیر به دست آمده به عنوان منبع اطلاعات استفاده میکند.
- مبتنی بر شبكه
در این دسته، بستههای عبوری در سطح شبکه به عنوان منبع اطلاعات جمعآوری میشوند. این عمل با قرار دادن کارت شبکه در حالت promiscuousصورت میگیرد.
1-2-3- روش های آنالیز
در فرایندهای تشخیصنفوذ بعد از معرفی منابع اطلاعات و مشخص شدن نوع دستهبندی آنها، نیاز بعدی تعیین یک آنالیزگر میباشد. در آنالیزگر اطلاعات از منابع اطلاعات استخراج میشوند و با توجه به سیاستهای امنیتی، انواع حملات و … مورد بررسی قرار میگیرند.
در سیستمهای تشخیصنفوذ، روشهای آنالیز به دو دسته کلی تشخیص سوءاستفاده و تشخیص ناهنجاری و یا ترکیبی از آنها تقسیم میشوند:
- تشخیص سوءاستفاده
در این روش، آنالیزگر به دنبال نشانهایی میگردد که بیانگر یک عمل خلاف باشد. برای انجام این کار، ابتدا اطلاعات فیلتر میشوند تا الگوهایی که بیانگر نوع حمله و یا سایر سیاستهای امنیتی باشد پیدا شوند. در تشخیص سوءاستفاده این کار توسط مکانیزمهای تشخیص الگو صورت میگیرد. در حال حاضر اکثر سیستمهای تشخیصنفوذ از این روش استفاده میکنند.
- تشخیص ناهنجاری
در این روش آنالیزگر به دنبال موارد غیرمعمول میگردد. برای انجام این کار، اطلاعات جمعآوری شده
بررسی میشوند تا الگوهایی که نشان دهنده اعمال غیرمعمول هستند پیدا شوند.
در برخی موارد از این دو روش در کنار یکدیگر استفاده میکنند در. این سیستمها، روش تشخیص ناهنجاری وظیفه تشخیص حملات جدید و ناشناخته را دارد و تشخیص سوءاستفاده وظیفه حفاظت سیستم تشخیص ناهنجاری را بر عهده میگیرد. با این كار این تضمین به وجود میآید که اطلاعات و الگوهای جمعآوری شده برای سیستم تشخیص ناهنجاری امن باشند. در شکل ۲-۱دیاگرامی از سیستمیکه از دو روش استفاده میکند
توجه:
- برای دانلود فایل word کامل ترجمه از گزینه افزودن به سبد خرید بالا استفاده فرمایید.
- لینک دانلود فایل بلافاصله پس از خرید بصورت اتوماتیک برای شما ایمیل می گردد.
به منظور سفارش تحقیق مرتبط با رشته تخصصی خود بر روی کلید زیر کلیک نمایید.
سفارش تحقیق
دیدگاهها
هیچ دیدگاهی برای این محصول نوشته نشده است.