لينك دانلود

دانشـكده مـهندسـي برق و کامپیوتر

پايان‌نامـه كارشناسي ارشد درون رشته مـهندسي کامپيوتر (هوش مصنوعی)

چکيده

در سال‌های اخیر با گسترش شبکه‌های کامپیوتری و افزایش دسترسی افراد بـه آن، بازنشاندن حساب تلگرام این بستر اطلاعاتی بـه شکل فزاینده ای دستخوش نفوذ، سوءاستفاده و حمله گردیده است. بازنشاندن حساب تلگرام عواملی از قبیل منافع مالی، اه سیـاسی یـا نظامـی‌و نیز مقاصد شخصی سبب افزایش حوادث امنیتی درون سیستم‌های اطلاعاتی مـی‌گردد. بازنشاندن حساب تلگرام درون نتیجه امنیت شبکه‌های کامپیوتری تبدیل بـه یکی از مـهم ترین دغدغه‌های اصلی کارشناسان شبکه و دیگر افراد مرتبط با شبکه‌ها شده است. ابزارهای متعددی جهت حفظ امنیت سیستم‌های کامپیوتری گسترش یـافته اند کـه یکی از آنـها سیستم شناسایی نفوذ مـی‌باشد. امروزه سیستم شناسایی نفوذ نقش مـهمـی‌را درون زمـینـه حفظ امنیت سیستم‌های اطلاعاتی و کاربران آنـها درون برابر حملات شریرانـه ایفا مـی‌کند. سیستم شناسایی نفوذ، تنـها سیستمـی‌است کـه به شکل فعال قادر بـه شناسایی استفاده‌های غیرمجاز و نیز سوءاستفاده از سیستم‌های اطلاعاتی توسط حمله گرهای داخلی و خارجی مـی‌باشد. درون نتیجه این سیستم یکی از اجزای بسیـار ضروری درون حفظ امنیت ساختارهای اطلاعاتی هست و مـی‌تواند درون کنار دیوار آتش بـه حفظ امنیت سیستم اطلاعاتی کمک کند. درون این پژوهش با بـه کارگیری رویکرد تحلیل شبکه‌های اجتماعی و ارائه معیـارهای شباهت افراد درون شبکه مدلی ارائه شده که تا افراد مشکوک درون شبکه شناسایی شوند. همچنین مدلی به منظور شبیـه سازی بستر آزمایش جهت سیستم‌های شناسایی نفوذ مبتنی بر جریـان فراهم آورده شده است.
کلید واژگان: بازنشاندن حساب تلگرام شناسایی نفوذگران-روش‌های شناسایی مبتنی بر جریـان- تشخیص ناهنجاری

فهرست مطالب

عنوان صفحه
1. کلیـات 2
1-1. مقدمـه………2
1-2. اهدف تحقیق.. 3
1-3. تعاریف اولیـه… 4
1-3-1. نفوذ 4
1-3-2. نفوذگر 5
1-3-3. سیستم‌های شناسایی نفوذ 6
1-3-4. سیستم‌های پیشگیری از نفوذ 6
1-3-5. دیوار آتش 7
1-4. چالشـهای مسئله 7
1-5. نگاهی بـه فصول پایـان نامـه 9
2. مبانی نظری تحقیق 12
2-1. مقدمـه…….. 12
2-2. طبقه بندی سیستم‌های تشخیص نفوذ 13
2-2-1. منبع اطلاعاتی 13
2-2-1. روش تحلیل 15
2-2-2. نحوه نظارت 16
2-2-3. روش پاسخگویی 17
2-3. جریـان شبکه… 20
2-3-1. تعریف جریـان شبکه 20
2-4. انواع حملات….. 22
3. پیشینـه تحقیق 28
3-1. مقدمـه….. 28
3-2. روش مبتنی بر جریـان درون برابر روش مبتنی بر محتوا 28
3-2-1. داده جریـان شبکه 29
3-2-2. روش‌های مبتنی بر بسته 30
3-2-3. روش‌های مبتنی بر جریـان 30
3-2-4. کرم‌ها 31
3-2-5. محدود کننده سرویس 34
3-2-6. پویش 36
3-2-7. Botnet 39
4. روش پیشنـهادی 43
4-1. مقدمـه…..43
4-2. مجموعه داده ……..43
4-3. معیـارهای شباهت 45
4-3-1. معیـارهای مبتنی بر گراف 45
4-3-1-1. ضریب خوشـه بندی محلی 45
4-3-1-2. ضریب خوشـه بندی وزن دار محلی 46
4-3-2. معیـارهای مبتنی بر گره 48
4-3-2-1. مـیانگین شباهت محلی 48
4-3-2-2. نسبت درجه گره 49
4-3-2-3. معیـار Zscore 49
4-4. شناسایی نفوذگران 51
5. آزمایشات و نتایج 53
5-1. مقدمـه…… 53
5-2. شبیـه سازی گراف شبکه 53
5-3. ساخت گراف یک سویـه 56
5-4. مقایسه معیـارهای شباهت 57
5-5. نتایج…………….. 58
فهرست منابع 60

فهرست جداول

عنوان صفحه
جدول 5-1.بررسی معیـارهای شناسایی براساس مـیزان کارآیی F_measure. 57
جدول 5-2.ترکیب معیـارهای شناسایی با ضریب خوشـه بندی 58

فهرست شکل‌ها

عنوان صفحه

شکل 2-1.دسته بندی سیستم‌های شناسایی نفوذ 20
شکل 2-2.عملیـات صدور و جمع آوری جریـان شبکه 22
شکل 3-1.کلاس‌های مرتبط با مـیزبان‌های شبکه 32
شکل 3-2.اجزاء همبند توصیف کننده الگوهای ارتباط مـیان مـیزبان‌ها درون شبکه 34
شکل 3-3.دسته بندی حملات پویش 37
شکل 4-1.شبکه Scale free و نمودار توزیع Power law 44
شکل 4-2.تبدیل گراف دوسویـه بـه یک سویـه 48
شکل 4-3.نمودار توزیع z-score. 50
شکل 5-1. نتایج شناسایی نفوذگران درون شبکه‌هایی با مقدار آلفا متغییر. 54
شکل 5-2. نتایج شناسایی نفوذگران درون شبکه‌هایی با مقدار v0 متغییر. 55
شکل 5-3. نتایج شناسایی نفوذگران درون شبکه‌هایی با توجه بـه درصد متغییر نفوذگران 56

فصل اول

کلیـات
مقدمـه

استفاده روزافزون افراد، سازمان‌ها، ارگان‌های دولتی و حتی زیرساخت‌های حیـاتی مانند نیروگاه‌ها، از شبکه‌های کامپیوتری و اینترنت ، سبب شده که تا بسیـاری از تعاملات فردی و مالی وابسته بـه شبکه‌های کامپیوتری باشد. از سویی دیگر، این مسئله شبکه‌های کامپیوتری و کاربران آنـها را بـه طمعه‌هایی جهت افراد سودجو تبدیل کرده است. بسیـاری از افراد با نفوذ درون شبکه و سرقت اطلاعات فردی و یـا مالی، خسارات زیـادی را بـه افراد، سازمانـها و حتی دولت‌ها وارد کرده اند. بـه طور کلی مـی-توان واژه نفوذ را بـه فعالیت‌هایی اطلاق کرد کـه توسط نفوذگر بـه منظور ورود بـه سیستم اطلاعاتی جهت خواندن، آسیب رساندن و سرقت اطلاعات صورت مـی‌گیرد. بر اساس بسیـاری از برآوردها، درصد بالایی از نفوذهای انجام شده -بیش از 85 درصد- از طرف کاربران داخلی انجام مـی‌شود و مابقی از خارج از محیط صورت مـی‌گیرد[5] . از این رو هیچ فرد و یـا سازمانی کـه با سیستم‌های اطلاعاتی سر و کار دارد، نمـی‌تواند از این قبیل حوادث امنیتی مصون باشد. درون نتیجه سیستم‌های شناسایی نفوذ تبدیل بـه بخش جدایی ناپذیر از ساختار امنیتی غالب سیستم‌های اطلاعاتی گردیده اند[17]. سیستم شناسایی نفوذ، تنـها سیستمـی‌است کـه به شکل فعال قادر بـه شناسایی استفاده‌های غیرمجاز و نیز سوءاستفاده از سیستم‌های اطلاعاتی توسط حمله گرهای داخلی و خارجی مـی‌باشد. سیستم شناسایی نفوذ اطلاعات مرتبط با منابع مختلف درون شبکه‌های کامپیوتری را جمع آوری و به منظور پی بردن بـه فعالیت‌های نفوذی تحلیل مـی‌کنند. غالبا فعالیت‌های نفوذی بـه منظور دستیـابی، دستکاری و ایجاد اختلال درون سیستم‌های کامپیوتری صورت مـی‌گیرد. درون نتیجه این سیستم یکی از اجزای بسیـار ضروری درون حفظ امنیت ساختارهای اطلاعاتی هست و مـی‌تواند درون کنار دیوار آتش بـه حفظ امنیت سیستم اطلاعاتی کمک کند. بـه عنوان نمونـه‌هایی از سیستم شناسایی نفوذ مـی‌توان بـه سیستم‌های تشخیص نفوذ تحت شبکه، دیوارهای آتش تحت وب، سیستم شناسایی بزار botnet و … اشاره کرد. بـه علاوه سیستم شناسایی نفوذ درون راستای حفظ سیستم اطلاعاتی از حملات خطرناک، قادر هست تا دیوار آتش را بـه گونـه ای مناسب پیکربندی کند.

اهدف تحقیق

امروزه امنیت شبکه‌های اطلاعاتی، یکی از مسائل چالش برانگیز درون حوزه علوم کامپیوتری مـی‌باشد. دامنـه حملات بـه شبکه‌های کامپیوتری هر روز گسترده تر مـی‌شود؛ اما مسئولیت شناسایی و مسدود حملات درون کاربران نـهایی و سرویس دهندگان اینترنت بـه عهده مدیران این سیستم‌ها واگذار شده است. وجود نقاط آسیب پذیر درون سیستم‌های اطلاعاتی بـه همراه رشد انفجاری انواع مختلف بزار، باعث شده که تا روند بـه روز نگه داشتن سیستم‌های شناسایی نفوذ مبتنی بر امضا با دشواری‌هایی مواجه گردد. درون نتیجه این سیستم‌ها قادر بـه شناسایی حملات نوظهور نخواهند بود. سیستم‌های شناسایی نفوذ مبتنی بر ناهنجاری نیز علی رغم قابلیت تطبیق-پذیری شان و توانمندی درون شناسایی حملات نوظهور, بسیـار وابسته بـه تعریفی کـه از مدل نرمال سیستم ارائه مـی‌شود، هستند.
طی چند سال اخیر، شبکه‌های اجتماعی تبدیل بـه قطب مرکزی اطلاعات و ارتباطات گردیده و به شکل روزافزون مورد توجه و حمله قرار گرفته اند. این مسئله سبب شده که تا تشخیص نفوذگران از کاربران عادی، تبدیل بـه یکی از مسائل چالش برانگیز درون رابطه با شبکه‌های اجتماعی گردد. درون تحقیق پیش رو بر اساس رویکرد مبتنی بر ناهنجاری، بـه بررسی چگونگی شناسایی نفوذگران درون شبکه‌های اجتماعی خواهیم پرداخت. تمرکز اصلی ما بر این مطلب استوار هست که قادر باشیم بـه صورت پویـا و با کمترین پیچیدگی زمان و فضا، نفوذگر را شناسایی کرده و به شکل فعال، نسبت بـه وی عالعمل نشان دهیم.
یکی از ویژگی‌های شبکه‌های اجتماعی این هست که الگوی ارتباطی و در نتیجه الگوی رفتار اجتماعی کاربران شبکه را بـه وضوح انعکاس مـی‌دهند [5]. بـه همـین دلیل به منظور ساخت مدل رفتار نرمال درون شبکه و شناسایی انحرافات از این مدل نرمال جهت شناسایی رفتار نابهنجار کاربران شبکه، تمرکز ما درون این تحقیق بر شناسایی نفوذگران بر مبنای رفتار آنـها درون شبکه‌های اجتماعی خواهد بود. به منظور شناسایی نفوذگران درون یک شبکه، مفهوم متفاوتی از نفوذ، مبنای کار قرار داده شده است: “نفوذ، ورود یک فرد بـه اجتماعی هست که بـه آن تعلق ندارد”. بر اساس این مفهوم مـی‌بایست ابتدا گراف ارتباطات شبکه را شکل داده، اجتماعات را درون گراف تعیین کرد و در ادامـه تعلق داشتن و یـا نداشتن یک فرد بـه یک اجتماع را استخراج کرد.
برای شناسایی الگوهای ارتباطی کاربران، از داده‌های جریـان شبکه کـه شامل جریـان داده مـیان مـیزبان‌های نـهایی کـه توسط آدرس-های IP نشان داده مـی‌شوند، مـی‌توان استفاده کرد. همان طور کـه مـی‌دانیم بسیـاری از روش‌های تشخیص نفوذ، قادر نیستند تنـها با داشتن این اطلاعات ساده کار کنند و نیـاز بـه ویژگی‌های متعددی درون مورد ارتباطات کاربر درون شبکه دارند.
یکی از دلایلی کـه سبب شده که تا در این تحقیق توجه خود را معطوف بـه مجموعه داده جریـان شبکه کنیم، این هست که این نوع مجموعه داده دارای تعداد ویژگی کمتری نسبت بـه مجموعه داده‌های متداول -که درون رویکرد مبتنی بر ناهنجاری استفاده مـی‌شوند- مـی‌باشند؛ درون نتیجه مـی‌تواند درون رسیدن بـه هدف این تحقیق کـه همان استفاده از سیستم درون کوتاهترین زمان هست به ما کمک کند. این نوع مجموعه داده بر مبنای اطلاعات ضبط شده دیواره‌های آتش، از فراهم کننده‌های سرویس اینترنتی جمع آوری مـی‌شوند. همان طور کـه ذکر شد، مجموعه داده‌های متداول جهت تحقیق درون زمـینـه سیستم‌های شناسایی نفوذ مبتنی بر ناهنجاری – مانند KDD99- دارای تعداد ویژگی بیشتری نسبت بـه داده‌های جریـان شبکه هستند. علاوه بر این، با توجه بـه ظهور روش‌های نفوذ و بزارهای جدید، بدیـهی هست که استفاده از مجموعه داده‌هایی کـه مربوط بـه سال‌های اخیر باشد را مـی‌توان درون اولویت کار قرار داده شود.
تعاریف اولیـه
همان طور کـه گفته شد، سیستم‌های تشخیص نفوذ بـه دنبال یـافتن فعالیت‌های نفوذی درون محیط و یـا موجودیتی بـه نام نفوذگر هستند. درون ادامـه تعاریف اولیـه کـه در این حوزه مطرح مـی‌شوند، آورده شده است:
نفوذ
به طور کلی، مفهوم واژه نفوذ با توجه بـه نوع سیستم تشخیص دهنده آن، سیستم و سرویس‌های مورد بررسی، تعریف مـی‌شود. واژه نفوذ را بـه فعالیت‌هایی اطلاق مـی‌شود کـه توسط نفوذگر بـه منظور ورود بـه سیستم اطلاعاتی جهت خواندن، آسیب رساندن و سرقت اطلاعات صورت مـی‌گیرد. این فعالیت‌ها بـه دو دسته تقسیم مـی‌شوند[16]:
فعالیت‌های قبل از نفوذ: این فعالیت‌ها توسط نفوذگر جهت آمادگی به منظور انجام نفوذ صورت مـی‌گیرد. بـه عنوان نمونـه‌هایی از این فعالیت‌ها مـی‌توان بـه پویش پورت بـه منظور یـافتن راهی به منظور ورود بـه شبکه و تحریف آدرس IP با هدف ورود مخفیـانـه نفوذگر بـه شبکه، مـی‌توان اشاره کرد.
نفوذ: نفوذگر بعد از ورود بـه سیستم مـی‌تواند حمله بـه ساختار شبکه را راه اندازی کند. حملاتی مانند حمله بـه رجیستری و تغییر تنظیمات آن، سرقت رمز عبور و سوء استفاده از سطح دسترسی کاربر مجاز, حملات Trojan و … را درون زمره فعالیت‌های نفوذ بـه حساب آورد.
نفوذگر
در یک تعریف جامع از واژه نفوذکر مـی‌توان گفت: ” نفوذگری هست که بـه دنبال یـافتن دسترسی غیر مجاز بـه سیستم کامپیوتری بـه منظور سرقت اطلاعات، سوءاستفاده و یـا تخریب سیستم کامپیوتری مـی‌باشد”[10]. مـی‌توان نفوذگران را بـه دو دسته تقسیم بندی کرد:
نفوذگران بیرونی :انی کـه هیچ سطحی از دسترسی بـه سیستم به منظور آنـها تعریف نشده است.
نفوذگران داخلی : افرادی کـه دارای سطح دسترسی محدودی بـه سیستم هستند ولیکن بـه دنبال سطح بالاتری از دسترسی جهت سوءاستفاده از سیستم کامپیوتری مـی‌باشند.
سیستم‌های شناسایی نفوذ
این سیستم‌ها وظیفه شناسایی و تشخیص هر گونـه استفاده غیرمجاز بـه سیستم، سوء استفاده و یـا آسیب رسانی توسط کاربران داخلی و یـا خارجی را بر عهده دارند. تشخیص و جلوگیری از نفوذ امروزه بـه عنوان یکی از مکانیزم‌های اصلی درون برآوردن امنیت شبکه‌ها و سیستم‌های رایـانـه‌ای مطرح هست و عمومأ درون کنار دیواره‌های آتش و به صورت مکمل امنیتی به منظور آن‌ها مورد استفاده قرار مـی‌گیرند.
سامانـه‌های تشخیص نفوذ بـه صورت سامانـه‌های نرم‌افزاری و سخت افزاری ایجاد شده و هر کدام مزایـا و معایب خاص خود را دارند. سرعت و دقت از مزایـای سیستم‌های سخت افزاری هست و عدم شکست امنیتی آن‌ها توسط نفوذگران، قابلیت دیگر این گونـه سیستم‌ها مـی‌باشد. اما استفاده آسان از نرم‌افزار، قابلیت سازگاری درون شرایط نرم‌افزاری و تفاوت سیستم‌های عامل مختلف، عمومـیت بیشتری را بـه سامانـه‌های نرم‌افزاری مـی‌دهد و عمومأ این گونـه سیستم‌ها انتخاب مناسب تری هستند.
سیستم‌های پیشگیری از نفوذ
این سیستم‌های کـه با عنوان سیستم‌های شناسایی و جلوگیری از نفوذ هم شناخته مـی‌شوند، ابزاری به منظور امنیت سیستم‌ها هستند کـه فعالیت‌های موجود درون شبکه و یـا سیستم را به منظور تشخیص و جلوگیری از فعالیت‌های مخرب تحت نظر مـی‌گیرند. وظایف اصلی یک سیستم جلوگیری نفوذ شامل شناسایی فعالیت‌های مخرب، ثبت اطلاعات درون مورد این فعالیت‌ها، اقدام بـه بلوکه و متوقف این فعالیت‌ها و ثبت گزارش کارهای انجام شده توسط خود سیستم مـی‌باشد.
سیستم‌های جلوگیری از نفوذ حالت ارتقا یـافته سیستم‌های تشخیص نفوذ محسوب مـی‌شوند چرا کـه هر دو این سیستم‌ها فعالیت‌های شبکه و یـا سیستم را به منظور یـافتن فعالیت‌های مخرب نظارت مـی‌کنند. تفاوت اصلی این سیستم‌ها با سیستم‌های تشخیص نفوذ درون این هست که این سیستم‌ها مـی‌توانند بـه صورت فعال مانع فعالیت‌های مخرب شده و یـا آنـها را متوقف کنند. بـه طور دقیق‌تر مـی‌توان گفت کـه یک سیستم جلوگیری نفوذ توانایی انجام کارهایی مانند ارسال هشدار، دور ریختن بسته‌های مخرب، بازنشاندن و یـا بلوکه ارتباط از طرف آدرس‌های متخاصم. این سیستم‌ها همچنین توانایی اصلاح خطاهای CRC، اصلاح ترتیب بسته‌ها، جلوگیری از مسائل ترتیب بسته TCP و پاکسازی گزینـه‌های ناخواسته درون لایـه حمل و شبکه را دارند.
دیوار آتش
دیوار آتش، از اجزای لاینفک شبکه‌های کامپیوتری مـی‌باشد کـه از دستیـابی غیر مجاز بـه شبکه‌ جلوگیری مـی‌کنند. این سیستم امنیتی معمولاً ترکیبی از سخت‌افزار و نرم‌افزار هست و با توجه بـه حساسیت اطلاعات هر سازمان دارای پیکربندی و قدرت متفاوتی مـی‌باشند. هر چند دیوار آتش بخش مـهمـی‌از سیستم امنیتی شبکه را تشکیل مـی‌دهد لیکن قادر بـه شناسایی و محدود حملاتی بیرونی هستند. مدیران امنیتی سیستم بـه خوبی مـی‌دانند کـه بیشتر حملات از درون شبکه راه اندازی مـی‌شوند[5]. درون نتیجه نیـاز بـه وجود سیستم‌های شناسایی و پیشگیری نفوذ به منظور مدیران امنیتی سیستم یک امر مسلم است.
چالش‌های مسئله
با پیشرفت تکنولوژی شبکه‌های کامپیوتری، افراد بـه راحتی بـه پهنای باند بالا جهت تبادل اطلاعات دسترسی دارند. بدون هیچ نگرانی درون رابطه با پهنای باند، هر روز سرویس‌ها و خدمات متفاوتی بـه کاربران ارائه مـی‌شود. همـین مسئله منجر بـه تولید حجم بسیـار بالای ترافیک شبکه شده هست که روش‌های مدیریت و نظارت ترافیک شبکه را دچار اشکال کرده است. بـه عنوان مثال، درون یک شبکه دانشگاهی بـه طور مـیانگین ترافیکی حدود صدها مگا بایت -و درون اوج شلوغی شبکه حتی که تا چندین گیگا بایت- انتقال مـی‌یـابد[1]. درون نتیجه نیـاز بـه روش‌های جدیدی هست که قادر بـه مدیریت و نظارت بر این حجم بالای اطلاعات باشند. از سویی دیگر رشد انفجاری تعداد حملات و تنوع آنـها یکی دیگر از مسائلی هست که روش‌های متداول را دچار مشکل مـی‌سازد. دلیل این رشد منافع اقتصادی روزافزون حملات مـی‌باشد. بـه عنوان مثال مـی‌توان بـه هرزنامـه اشاره کرد. بر اساس ادعای کارشناسان حدود 90% از پیـام‌های منتشر شده درون سرتاسر جهان هرزنامـه مـی‌باشد. بـه عنوان هرزنامـه‌ها بـه شکل تبلیغات اغوا کننده و یـا نامـه‌های رسمـی‌به دنبال جمع آوری اطلاعات شخصی کاربران مانند اطلاعات بانکی آنـها مـی‌باشند[2]. زمانی کـه به دنبال یـافتن نفوذگران درون شبکه هستیم، ترکیب دو پدیده ذکر شده –حجم بسیـار بالای ترافیک شبکه و تعداد بالا و تنوع زیـاد حملات- سبب مـی‌شود که تا روش‌های شناسایی متداول با اشکالانی مواجه شوند. این مسئله منجر بـه بوجود آمدن روش‌های شده کـه به جای بررسی محتوای بسته درون شبکه، تمرکز خود را بر روی بررسی الگوی ارتباطات درون شبکه متمرکز کنند [3و4و5].
جهت استخراج و بررسی الگوی ارتباطی درون شبکه نیـاز بـه بررسی داده‌های جریـان درون شبکه مـی‌باشد. جریـان عبارت هست از تعدادی بسته کـه دارای منبع و مقصد مشترک مـی‌باشند. این جریـان نشان دهنده ارتباط مـیان دو مـیزبان نـهایی مـی‌باشد. روش‌های مبتنی بر جریـان شبکه با استفاده از این جریـانات قادرند جریـان‌های مشکوک را درون شبکه شناسایی کنند. بدیـهی هست که این روش تاثیر بـه سزایی درون کاهش حجم داده ای کـه نیـاز بـه نظارت و تحلیل دارد، ایفا مـی‌کند. همان طور کـه مـی‌دانیم بسیـاری از روش‌های تشخیص نفوذ مانند روش‌های مبتنی بر محتوا، قادر نیستند تنـها با داشتن این اطلاعات ساده کار کنند و نیـاز بـه ویژگی-های متعددی درون مورد ارتباطات کاربر درون شبکه دارند. همچنین با توجه بـه سرعت و حجم بالای اطلاعات شبکه، اعمال این روش‌ها به منظور نظارت و بررسی تمامـی‌بسته‌های شبکه امکان پذیر نمـی‌باشد. درون نتیجه مـی‌توان روش‌های شناسایی مبتنی بر جریـان شبکه را رویکردی مناسب نسبت بـه روش‌های مبتنی بر محتوا دانست.
یکی از چالش‌های موجود درون زمـینـه توسعه تکنیک‌های شناسایی نفوذ، عدم وجود مجموعه داده مناسب جهت توسعه، ارزیـابی و مقایسه تکنیک‌های شناسایی نفوذ مـی‌باشد. مجموعه داده مناسب مـی‌بایست دارای شرایط زیر باشد:
واقعی باشد: این مسئله درون مورد داده‌های مرتبط با روش‌های مبتنی بر جریـان شبکه بیشتر نمود پیدا مـی‌کند. چرا کـه نشر اطلاعات ترافیک شبکه کـه حاوی آدرس‌های مبدا و مقصد باشد با قوانین حفظ حریم کاربران و امنیت شبکه درون تضاد مـی‌باشد. بـه عنوان مثال داده ای کـه از جریـان ترافیک یک شبکه واقعی جمع آوری شده –مانند یک سرویس دهنده اینترنت- را بـه دلیل اینکه دارای اطلاعات مرتبط با کاربران شبکه مـی‌باشد، را بـه ندرت درون اختیـار عموم قرار مـی‌دهند. تکنیک‌های گمنام سازی آدرس‌ها نیز بـه دلیل بـه کار بردن روش مـهندسی معممکن هست ناکارآمد باشند. از این رو بیشتر گرایش بـه داده‌های مصنوعی و شبیـه سازی شده مـی‌باشد.
دارای برچسب باشد: تمامـی‌رکوردهای موجود درون این مجموعه داده مـی‌بایست دارای برچسب نرمال و یـا مشکوک باشد. برچسب زدن جریـان‌های شبکه، بـه ویژه درون مورد داده‌هایی با حجم بالا کاری بسیـار زمان بر هست .
دارای حملات متداول باشد: مجموعه داده مـی‌بایست دارای جریـانات مرتبط با حملات متداول باشد. با توجه بـه سرعت رشد و تحول تکنیک‌های حملات، مجموعه داده‌ها بـه سرعت قدیمـی‌مـی‌شوند. درون نتیجه مجموعه داده‌های موجود دارای حملات جدید نمـی‌باشند و ممکن هست در محیط‌های واقعی ناکارآمد باشند.
دسترسی عمومـی: بیشتر محققان از داده‌هایی استفاده مـی‌کنند کـه اختصاصی هست و درون دسترس عموم نمـی‌باشد. بـه عنوان مثال از ترافیک شبکه دانشگاه و یـا یک مرکز تحقیقات جمع آوری شده است. بدیـهی هست که این نمونـه داده بـه دلایل امنیتی و حفظ حریم کاربران درون دسترس عموم قرار نمـی‌گیرد.
یکی از مجموعه داده‌های معتبر کـه در زمـینـه تشخیص نفوذ استفاده مـی‌شود، مجموعه داده DARPA مـی‌باشد. از این رو بـه محققان توصیـه مـی‌شود کـه استفاده از این مجموعه داده را کنار گذارند.



[شناسایی نفوذگران با کمک مفهوم شبکه اجتماعی | ايران متلب بازنشاندن حساب تلگرام]

نویسنده و منبع | تاریخ انتشار: Tue, 17 Jul 2018 12:16:00 +0000