دانشکده آموزشهاي الکترونيکي
پايان نامه کارشناسي ارشد در رشته مهندسي فناوري اطلاعات- تجارت الکترونيک
شناسايي برخي اختلالات شبکه با استفاده از آناليز زمان حقيقي ترافيک شبکه مبتني بر نسل جديد ويولت و توابع مشابه
به کوشش
آزاده جمشيدي مقدم
استاد راهنما
دکتر سيد علي اکبر صفوي
اسفند 1391
به نام خدا
اظهارنامه
اينجانب آزاده جمشيدي مقدم (880919) دانشجوي رشته فناوري اطلاعات گرايش تجارت الکترونيک دانشکده آموزشهاي الکترونيکي اظهار مي کنم که اين پايان نامه حاصل پژوهش خودم بوده و در جاهايي که از منابع ديگران استفاده کرده ام، نشاني دقيق و مشخصات کامل آن را نوشته ام. همچنين اظهار مي کنم که تحقيق و موضوع پايان نامه ام تکراري نيست و تعهد مي نمايم که بدون مجوز دانشگاه دستاوردهاي آن را منتشر ننموده و يا در اختيار غير قرار ندهم. کليه حقوق اين اثر مطابق با آيين نامه مالکيت فکري و معنوي متعلق به دانشگاه شيراز است.
نام و نام خانوادگي آزاده جمشيدي مقدم
تاريخ و امضاء:
سپاسگزاري
اکنون که اين رساله به پايان رسيده است بر خود فرض مي دانم از همراهي و زحمات بي دريغ استاد ارجمندم جناب آقاي دکتر سيد علي اکبر صفوي که در تمامي مراحل انجام اين پژوهش همواره ياري رسانم بوده اند، کمال قدرداني را داشته باشم. بعلاوه، مراتب سپاسگزاري خود را از راهنمايي و مساعدت اساتيد مشاور گرامي، جناب آقاي دکتر عليرضا کشاورز حداد و سرکار خانم دکتر منيژه کشتگري، اعلام ميدارم.
همچنين از همه کساني که در طي اين پروسه پژوهشي، پيشنهادات و دانش خود را سخاوتمندانه و بي دريغ در اختيار نگارنده قرار دادند، و بويژه از جناب آقاي علي صفوي، نهايت قدرداني خود را ابراز مي دارم و براي تک تک اين عزيزان موفقيت هاي روزافزون را آرزومندم.
در انتها، از پدر و مادر عزيزم که در اين مدت، حضور اميدبخش شان در گذر از لحظات دشوار مسير، همچون تمامي مراحل زندگي ، راهگشا و دلگرم کننده بوده است، به وسعتِ بي انتهايِ فداکاري هايشان سپاسگزارم.
چکيده
شناسايي برخي اختلالات شبکه با استفاده از آناليز زمان حقيقي ترافيک شبکه مبتني بر نسل جديد ويولت و توابع مشابه
به کوشش
آزاده جمشيدي مقدم
امروزه با پيشرفت چشمگير زمينه ها در استفاده متبحرانه از شبکه هاي کامپيوتري (و خصوصاً اينترنت) لزوم برقراري امنيت و امکان تشخيص نفوذهاي اخلال گرانه در آن بيش از گذشته مورد توجه قرار گرفته است. در همين راستا، رويکرد نظارت بر شبکه هاي کامپيوتري با استفاده از کنترل زمان حقيقي ترافيک در انواع مختلفي از سيستم هاي تشخيص نفوذ مبتني بر شبکه و ميزبان، ارزيابي و پياده سازي مي شود. اين سيستم ها عموماً از تکنيکهاي تطابق الگوها يا نشانه ها به عنوان هسته اوليه ساختار خود استفاده مي کنند وبنابراين در شناسايي حملات ناشناخته اي که تاکنون الگويي براي تشخيص آنها وجود نداشته، عملکرد کارا و موثري ندارند.
در اين پژوهش، ابتدا کارايي توابع ويولت نسل اول و دوم در سيستم تشخيص مبتني بر تحليل ويژگي ها و با استفاده از مجموعه داده DARPA1999 [6]، بررسي شده و در ادامه رويکرد ديگري از اين سيستم ها با استفاده از شبکه هاي عصبي، مورد ارزيابي قرار مي گيرد. در اين راستا، از تکنيک آناليز مولفه هاي اصلي1 جهت کاهش ابعاد ويژگي ها استفاده شده است. مجموعه داده مورد استفاده در اين سيستم تشخيص، KDD 99[4] بوده که مجموعه اي از اتصالات است که هر يک در قالب 41 ويژگي توصيف شده اند. مجموعه داده ي آموزش اين سيستم شامل 22 نوع حمله مي باشد که نوع آنها برچسب گذاري شده است. پس از اعمال PCA ، يک شبکه عصبي پرسپترون چندلايه اي2 براساس مجموعه اي از 45هزار اتصال آموزش داده مي شود و سپس هر بار سه هزار اتصال بصورت تصادفي انتخاب شده و آزمايش مي شود. نتايج حاصل از پياده سازي نشان مي دهد که استفاده از توابع ويولت نسل دوم در توسعه ي روشهاي مشابه که پيشتر با استفاده از ويولت هاي نسل اول پياده سازي شده بودند، تاثير چشمگيري در بهبود عملکرد سيستم هاي تشخيص نفوذ نداشته اند. گرچه اين دسته توابع را مي توان به عنوان ابزاري براي پردازش داده ها جهت دستيابي به يک مدل مطلوب تر از داده هاي ورودي مورد توجه قرار داد. از سوي ديگر، ارزيابي روش مبتني بر شبکه عصبي و PCA حاکي از عملکرد بسيار مطلوب اين ساختار در سيستم هاي تشخيص نفوذ مي باشد.
کلمات کليدي: سيستم تشخيص نفوذ، تبديل ويولت، ويولت هاي نسل دوم، شبکه عصبي
فهرست مطالب
عنوان صفحه
فصل اول (معرفي و طرح مساله)
1-1 تقسيم بندي سيستم هاي تشخيص نفوذ2
1-2- تعريف پروژه 3
1-3- هدف تحقيق 5
1-4-ساختار پايان نامه 5
فصل دوم (انواع حملات کامپيوتري)
2-1-حملات کامپيوتري فعال 9
2-2-حملات کامپيوتري غيرفعال 10
2 -2-1- حملات رد سرويس 12
2-2-1-1- دسته بندي حملات رد سرويس 12
2-2-1-2- انواع حملات رد سرويس 13
فصل سوم (مطالعه موردي)
3-1-مطالعه موردي بر روي داده هاي DARPA 1999 18
3-2- مطالعه موردي بر روي داده هاي KDD 1999 21
عنوان صفحه
فصل چهارم (مباني نظري)
4-1- مقدمه اي بر ويولت 28
4 -1-1-معرفي توابع ويولت 30
4-1-2-تبديل ويولت پيوسته 32
4-1-3-تبديل ويولت گسسته 33
4-1-4- ويولت هاي نسل دوم 34
4-2- آناليز مولفه هاي اصلي 38
4-2-1- الگوريتم آناليز مولفه هاي اصلي 39
4-3- معرفي شبکه عصبي 40
فصل پنجم (چهارچوب طرح پيشنهادي)
5-1- ارزيابي روشهاي مبتني بر ويولت 45
5-1-1- پيشينه پژوهش ها در زمينه بکارگيري ويولت 45
5-1-2- استفاده از ضرايب تقريب ويولت و معيار انحراف استاندارد 48
5-1-3- استفاده از ضرايب ويولت و ميانه براي پنجره هاي زماني بطول 5 دقيقه 74
5-1-4- استفاده از ضرايب تقريب ويولت و معيار انحراف از ميانگين 80
5-1-5- روش تشخيص مبتني بر آستانه انتخابي 81
5-2- استفاده از ابزارهاي آناليز داده اکتشافي 82
5- 3- روش مبتني بر شبکه عصبي 85
5-3-1- پيشينه پژوهش ها در زمينه استفاده از شبکه هاي عصبي86
5-3-2- روش تشخيص مبتني بر آناليز مولفه هاي اصلي و شبکه عصبي88
عنوان صفحه
فصل ششم (ارزيابي تجربي و نتايج)
6-1- نتيجه گيري 91
6-2- پيشنهادات 93
فهرست منابع 94
فهرست جدول ها
عنوان صفحه
جدول شماره 2-1: دسته بندي ويژگي هاي حملات رد سرويس 12
جدول شماره 3-1: دسته بندي حملات موجود در مجموعه داده DARPA1999 19
جدول شماره 3-2: توصيف ويژگي هاي مجموعه داده تشخيص نفوذ KDD 99 23
جدول شماره 3-3: مشخصه هاي اوليه داده هاي تشخيص نفوذ KDD 99 25
جدول شماره 3-4: ليست حملات و تعداد آنها در مجموعه داده ي 10% KDD 99 26
جدول شماره 4-1: خلاصه اي از توابع شبکه مورد استفاده در شبکه هاي عصبي 41
جدول شماره 4-2: ليستي از توابع فعال سازي مورد استفاده در شبکه هاي عصبي 42
جدول شماره 5-1: مقايسه رفتار سه ضريب اول از ويولت هاي هار،
کويفلت1 و يک ويولت نسل دوم 59
جدول شماره 5-2: مقايسه عملکرد اعمال مرحله lifting در يک
و دو سطح بر روي دو ويولت هار و کويفلت1، در بازه زماني 20 ثانيه 64
جدول شماره 5-3: مقايسه رفتار ضرايب اول در ويولت نسل دوم
و تابع ويولت متناظر با آن براي ويولت هار و کويفلت1 71
فهرست شکل ها
عنوان صفحه
شکل شماره 4-1 توزيع فرکانس زماني در تبديل ويولت،
تبديل فوريه و نسخه زمان-کوتاه آن31
شکل شماره 4-2 يک طرح lifting کلي شامل مراحل Split، Dual و Primal 37
شکل شماره 4-3 معکوس طرح lifting 37
شکل شماره 4-4 انتخاب محورهاي جديد براي داده هاي دوبعدي در PCA 38
شکل شماره 4-5 ساختار پيشنهادي نرون مک کولچ و پيت 41
شکل شماره 4-6 نمايش ساختاري از الگوي پرسپترون ساده 43
شکل شماره 4-7 ساختار کلي شبکه هاي عصبي مصنوعي
به شکل پرسپترون چندلايه اي43
شکل شماره 5-1-1 رفتار ضرايب اول، دوم و سوم ويولت هار
با پنجره زماني 5 ثانيه، بر روي بخشي از ترافيک روز سوم از هفته دوم 50
شکل شماره 5-1-2 رفتار ضرايب اول، دوم و سوم ويولت کويفلت1
با پنجره زماني 5 ثانيه ، بر روي بخشي از ترافيک روز سوم از هفته دوم 51
شکل شماره 5-1-3 رفتار ضرايب اول، دوم و سوم ويولت نسل دوم
(از طريق اعمال يک مرحله lifting بر روي ويولت هار) با پنجره زماني 5 ثانيه،
بر روي بخشي ترافيک روز سوم از هفته دوم 52
شکل شماره 5-2-1 رفتار ضرايب اول، دوم و سوم ويولت هار با پنجره زماني 10 ثانيه ،
بر روي بخشي از ترافيک روز سوم از هفته دوم 53
عنوان صفحه
شکل شماره 5-2-2 رفتار ضرايب اول، دوم و سوم ويولت کويفلت1
با پنجره زماني 10 ثانيه، بر روي بخشي از ترافيک روز سوم از هفته دوم 54
شکل شماره 5-2-3 رفتار ضرايب اول، دوم و سوم ويولت نسل دوم
(از طريق اعمال يک مرحله lifting بر روي ويولت هار) با پنجره زماني 10 ثانيه،
بر روي بخشي از ترافيک روز سوم از هفته دوم 55
شکل شماره 5-3-1 رفتار ضرايب اول، دوم و سوم ويولت هار با پنجره زماني 15 ثانيه،
بر روي بخشي از ترافيک روز سوم از هفته دوم 56
شکل شماره 5-3-2 رفتار ضرايب اول، دوم و سوم ويولت کويفلت1
با پنجره زماني 15 ثانيه، بر روي بخشي از ترافيک روز سوم از هفته دوم 57
شکل شماره 5-3-3 رفتار ضرايب اول، دوم و سوم ويولت نسل دوم
(از طريق اعمال يک مرحله lifting بر روي ويولت هار) با پنجره زماني 15ثانيه،
بر روي بخشي از ترافيک روز سوم از هفته دوم 58
شکل شماره 5-4-1 رفتار ضرايب اول، دوم و سوم ويولت نسل دوم
(از طريق اعمال مرحله lifting روي ويولت هار و در يک سطح)
با پنجره زماني 20 ثانيه، بر روي بخشي از ترافيک روز سوم از هفته دوم 60
شکل شماره 5-4-2 رفتار ضرايب اول، دوم و سوم ويولت نسل دوم
(از طريق اعمال مرحله lifting روي ويولت هار و در دو سطح)
با پنجره زماني 20 ثانيه، بر روي بخشي از ترافيک روز سوم از هفته دوم 61
شکل شماره 5-4-3 رفتار ضرايب اول، دوم و سوم ويولت نسل دوم
(از طريق اعمال مرحله lifting روي ويولت کويفلت1 و در يک سطح)
با پنجره زماني 20 ثانيه، بر روي بخشي از ترافيک روز سوم از هفته دوم 62
شکل شماره 5-4-4 رفتار ضرايب اول، دوم و سوم ويولت نسل دوم
(از طريق اعمال مرحله lifting روي ويولت کويفلت1 و در دو سطح)
با پنجره زماني 20 ثانيه، بر روي بخشي از ترافيک روز سوم از هفته دوم 63
عنوان صفحه
شکل شماره 5-5-1 رفتار ضريب اول ويولت هار و ويولت نسل دوم آن
(از طريق اعمال مرحله lifting روي ويولت هار و در يک سطح)
با پنجره زماني 10 ثانيه، بر روي بخشي از ترافيک روز سوم از هفته دوم 65
شکل شماره 5-5-2 رفتار ضريب اول ويولت هار و ويولت نسل دوم آن
(از طريق اعمال مرحله lifting روي ويولت هار و در يک سطح)
با پنجره زماني 15 ثانيه، بر روي بخشي از ترافيک روز سوم از هفته دوم 66
شکل شماره 5-5-3 رفتار ضريب اول ويولت هار و ويولت نسل دوم آن
(از طريق اعمال مرحله lifting روي ويولت هار و در يک سطح)
با پنجره زماني 20 ثانيه، بر روي بخشي از ترافيک روز سوم از هفته دوم 67
شکل شماره 5-6-1 رفتار ضريب اول ويولت کويفلت1 و ويولت نسل دوم آن
(از طريق اعمال مرحله lifting روي ويولت کويفلت1 و در يک سطح)
با پنجره زماني 10 ثانيه، بر روي بخشي از ترافيک روز سوم از هفته دوم68
شکل شماره 5-6-2 رفتار ضريب اول ويولت کويفلت1 و ويولت نسل دوم آن
(از طريق اعمال مرحله lifting روي ويولت کويفلت1 و در يک سطح)
با پنجره زماني 15 ثانيه، بر روي بخشي از ترافيک روز سوم از هفته دوم 69
شکل شماره 5-6-3 رفتار ضريب اول ويولت کويفلت1 و ويولت نسل دوم آن
(از طريق اعمال مرحله lifting روي ويولت کويفلت1 و در يک سطح)
با پنجره زماني 20 ثانيه، بر روي بخشي از ترافيک روز سوم از هفته دوم 70
شکل شماره 5-7-1 نمودار انحراف استاندارد طي ساعت سوم تا پنجم
ترافيک روز سوم از هفته دوم در بازه هاي زماني 5 ثانيه 72
شکل شماره 5-7-2 نمودار انحراف استاندارد طي ساعت سوم تا پنجم
ترافيک روز سوم از هفته دوم در بازه هاي زماني 10 ثانيه 73
شکل شماره 5-7-3 نمودار انحراف استاندارد طي ساعت سوم تا پنجم
ترافيک روز سوم از هفته دوم در بازه هاي زماني 15 ثانيه 74
عنوان صفحه
شکل شماره 5-8-1 نمودار انحراف از ميانه ضرايب ويولت نسل دوم
(از طريق اعمال يک مرحله lifting بر روي ويولت هار) براي ترافيک
روز سوم از هفته دوم و رفتار حمله satan در آن75
شکل شماره 5-8-2 نمودار انحراف از ميانه ضرايب ويولت نسل دوم
(از طريق اعمال يک مرحله lifting بر روي ويولت کويفلت1) براي
ترافيک روز سوم از هفته دوم و رفتار حمله smurf در آن 76
شکل شماره 5-8-3 نمودار انحراف از ميانه ضرايب ويولت نسل دوم
(از طريق اعمال يک مرحله lifting بر روي ويولت هار) براي ترافيک
روز اول از هفته چهارم و رفتار حمله smurf در آن77
شکل شماره 5-8-4 نمودار انحراف از ميانه ضرايب ويولت نسل دوم
(از طريق اعمال يک مرحله lifting بر روي ويولت کويفلت
1) براي ترافيک روز اول از هفته چهارم و رفتار حمله smurf در آن 77
شکل شماره 5-8-5 نمودار انحراف از ميانه ضرايب ويولت نسل دوم
(از طريق اعمال يک مرحله lifting بر روي ويولت هار) براي ترافيک
روز سوم از هفته چهارم و رفتار حمله smurf در آن78
شکل شماره 5-8-6 نمودار انحراف از ميانه ضرايب ويولت نسل دوم
(از طريق اعمال يک مرحله lifting بر روي ويولت کويفلت
1) براي ترافيک روز سوم از هفته چهارم و رفتار حمله smurf در آن 78
شکل شماره 5-8-7 نمودار انحراف از ميانه ضرايب ويولت نسل دوم
(از طريق اعمال يک مرحله lifting بر روي ويولت هار)
براي ترافيک روز اول از هفته پنجم و رفتار حمله smurf در آن79
شکل شماره 5-8-8 نمودار انحراف از ميانه ضرايب ويولت نسل دوم
(از طريق اعمال يک مرحله lifting بر روي ويولت کويفلت
1) براي ترافيک روز اول از هفته پنجم و رفتار حمله smurf در آن 79
عنوان صفحه
شکل شماره 5-9-1 نمودار boxplot مربوط به روزهاي اول تا پنجم از هفته دوم 83
شکل 5-9-2 نمودار boxplot مربوط به روزهاي اول تا پنجم از هفته چهارم 84
شکل 5-9-3 نمودار boxplot مربوط به روزهاي اول تا پنجم از هفته پنجم 85
فصل اول
مقدمه
بي شک با توجه به گسترش فراگير تکنولوژي و رويکرد متنوع در استفاده از شبکه هاي کامپيوتري، بحث امنيت اطلاعات و تشخيص بموقع و درست حملات و نفوذها در آن از اهميت روزافزوني برخوردار است.
1-1- تقسيم بندي سيستم هاي تشخيص نفوذ
عموماً تکنيکهاي تشخيص به لحاظ ماهيت به دو گروه تقسيم مي شوند: تشخيص سوء استفاده و تشخيص رفتار غيرعادي.
در روشهاي مبتني برتشخيص سوء استفاده، حملات در صورتي قابل شناسايي اند که بتوان اثرات آنها را با تحليل رفتارهاي ترافيک شبکه مشخص نمود. به عبارت ديگر، براساس مجموعه اي از الگوهاي نفوذ و نيز تطابق رفتار مشاهده شده با يکي از مدل ها، امکان تشخيص نفوذ فراهم مي گردد. اشکال عمده ي اين روش در تشخيص حملات ناشناخته اي است که تاکنون الگويي براي آنها وجود نداشته و بنابراين با اين سيستم قابل شناسايي نمي باشند. براي جبران اين محدوديت، روش ديگري براساس تشخيص رفتارهاي غيرعادي مطرح شد. در اين رويکرد که براي نخستين بار در پژوهش دنينگ [1] مطرح شد، اساس سيستم تشخيص نفوذ مبتني بر رفتارعادي سيستم بنا گذارده مي شود. در نتيجه اکثر تکنيکهاي تشخيص رفتار غيرعادي، همواره در تلاش براي ايجاد پروفايل هاي عملکرد نرمال با محاسبه و ارزيابي معيارهاي گوناگون بوده اند. براين اساس يک حمله زماني تشخيص داده مي شود که رفتار سيستم در آن لحظه، از اين پروفايل نرمال تخطي کند.
بنا بر پژوهش اکسلسون[2]، نخستين سيستم هاي تشخيص رفتار غير عادي مبنايي خودآموز داشتند. به اين معنا که خودشان رفتار نرمال سيستم را تبيين مي کردند. اگرچه تکنيکهاي يادگيري ماشين نتايج خوبي دربرداشتند اما هنوز با محدوديت هاي قابل ملاحظه اي براي تشخيص حملات جديد مواجه بودند. بدين سبب تکنيکهاي پردازش سيگنال به عنوان جايگزيني کارآمدتر براي روش هاي پيشين مطرح شدند.
از سوي ديگر، سيستم هاي تشخيص نفوذ را از نظر منبع مورد بررسي ميتوان در دو گروه دسته بندي نمود[3]: تشخيص نفوذ براساس مدل ميزبان و تشخيص نفوذ براساس ترافيک شبکه.
در روش مبتني بر ميزبان، مبناي تحليل عملکرد بر روي يک سيستم منفرد است و معمولاً اين روش براساس فعاليت هاي کاربر سيستم مثل فراخواني هاي سيستمي مي باشد. اما در تشخيص نفوذ براساس ترافيک شبکه، کل ساختار و يا هريک از ميزبان ها مي تواند به عنوان دامنه ي پياده سازي تکنيکها مدنظر قرار گيرد.
1-2- تعريف پروژه
در اين پژوهش، هر دو روش تشخيص سوء استفاده و تشخيص رفتار غيرعادي را در قالب دو راهکار مختلف مورد بررسي قرار مي گيرد. در اين راستا، از دو نوع داده، شامل مجموعه هاي DARPA1999 و KDD1999 استفاده شده است مجموعه داده DARPA1999 شامل پنج هفته ترافيک يک شبکه شبيه سازي شده، درقالب فايل هاي TCPDUMP مي باشد که هفته اول و سوم، ترافيک نرمال و هفته دوم، چهارم و پنجم، حملات را نيز دربرمي گيرد. بعلاوه، بررسي ها نشان مي دهد در بسياري از پژوهش هاي پيشين، سيستم هاي تشخيص نفوذ از داده هاي جريان شبکه (مثل net flow، sflow و ipfix) استفاده مي کنند. اما در اين پژوهش، طي يک پروسه پيش پردازش، از فايل هاي TCPDUMP، گزارش جريان گرفته شده و براساس برخي ويژگي هاي اين گزارشات، سيستم تشخيص فرموله سازي مي گردد.
بعلاوه، پيش از اين در مجموعه داده هاي تشخيص نفوذ 1999 KDD CUP [4]، لي و همکاران، داده هاي نفوذ3 را در قالب سه دسته از ويژگي ها مشخصه سازي کرده اند: ويژگي هاي اوليه4، ويژگي هاي محتوا5 و ويژگي هاي ترافيک6 [5] آنها سپس ارتباطات شبکه را با استفاده از 41 ويژگي، توصيف کردند. البته اين رويکرد، حملات را تا حد ممکن پوشش مي دهد. ولي بررسي بسته هاي شبکه با حجم بالايي از ويژگي ها، تشخيص نفوذهاي آنلاين را تقريباً غيرممکن مي سازد. درواقع، هدف انتخاب ويژگي ها، دستيابي به توصيف کامل همه ي فعاليت هاي مخرب شبکه نيست. بلکه مقصود آن، تبيين تعداد محدودي از نشانه هايي است که با آن مي توان يک تشخيص موثر و کارا انجام داد.
راهکاري که براساس داده هاي DARPA1999 ارائه مي شود، روشي مبتني بر اعمال آناليز ويولت بر برخي ويژگي هاي حاصل از يک پروسه پيش پردازش روي داده هاست. براساس اين ضرايب ويولت، رفتار ترافيک نرمال و رفتار حملات شناسايي مي شود. در ادامه، تشخيص دو حمله ي satan و smurf در اين مجموعه داده را براساس اين رويکرد بررسي مي کنيم.
بعلاوه کارايي شبکه هاي عصبي به عنوان يکي از موفقيت آميزترين ابزارهاي تشخيص نفوذ در سالهاي اخير، مورد ارزيابي قرار خواهد گرفت. پياده سازي اين طرح براساس مجموعه داده KDD1999 انجام شده است. جهت بهبود کارايي اين سيستم، با استفاده از PCA ، ابعاد بردار ورودي از 41 ويژگي به 7 ويژگي کاهش يافته است. نتايج بدست آمده، حاکي از بهبود قابل قبولي درافزايش نرخ تشخيص و کاهش اخطارهاي نادرست مي باشد.

1-3-هدف تحقيق
در اين پژوهش، مبناي کار براساس کاربرد نسل جديد توابع ويولت و بطور اخص ويولت هاي نسل دوم مي باشد که پيش از اين در موارد مشابه بکار گرفته نشده است. بيش از آن، قصد داريم به اين سوال اساسي پاسخ دهيم که “آيا با بهره گيري از توابع ويولت به نتايج مطلوب تري در تشخيص نفوذها و حملات شبکه دست خواهيم يافت؟”. اميد است با مقايسه نتايج بدست آمده براساس کاربرد هريک از انواع توابع ويولت ذکر شده، گامي بسوي بهينه سازي روشهاي پيشين برداريم.
1-4- ساختار پايان نامه
فصل اول (معرفي و طرح مساله). نخستين بخش اين پژوهش، به توصيف اجمالي موضوع پروژه و بررسي ابعاد مساله پرداخته است.
فصل دوم (انواع حملات کامپيوتري). به دليل اهميت آشنايي با عملکرد حملات در تشخيص رفتارهاي غير عادي ترافيک شبکه، در اين فصل به بررسي انواع حملات کامپيوتري و اثرات آنها پرداخته مي شود .
فصل سوم (مطالعه موردي). در اين فصل، توضيحاتي جامعي درباره ي دو مجموعه داده DARPA 1999 و KDD CUP 1999 ارائه مي گردد.
فصل چهارم (مباني نظري). در اين فصل، مباني نظري شبکه هاي عصبي، آناليز ويولت و سپس بطور اخص توابع ويولت نسل دوم مطرح شده و در ادامه، تکنيک آناليز مولفه هاي اصلي به عنوان يک روش کاهش ويژگي ها در جهت بهبود عملکرد سيستم نشخيص نفوذ، معرفي و تشريح مي شود.
فصل پنجم (چهارچوب طرح پيشنهادي). در اين فصل، ضمن بررسي روش هاي پيشين در ارائه سيستم هاي تشخيص نفوذ، آنها را با بکارگيري نسل جديد ويولت ها، مورد ارزيابي قرار گرفته و در ادامه، يک سيستم تشخيص نفوذ مبتني بر شبکه عصبي و آناليز مولفه هاي اصلي را معرفي مي شود. بعلاوه در اين فصل، مطالعات مشابه و دستاوردهاي پيشين مورد بررسي قرار مي گيرد. اين پژوهش ها در دو بخش، شامل توصيف منظري از مطالعات انجام شده در حوزه ويولت ها و نيز کاربردهايي از شبکه هاي عصبي در سيستم هاي تشخيص نفوذ، ارائه مي گردد.
فصل ششم (ارزيابي تجربي و نتايج). اين فصل، مربوط به ارزيابي تجربي و نتايج حاصل از روش ارائه شده مي باشد که طي آن به نتيجه گيري و ارائه افق پيش رو براي پژوهش هاي آينده پرداخته مي شود.
فصل دوم
انواع حملات کامپيوتري
ماهيت ناشناس بودن کاربران شبکه هاي کامپيوتري و خصوصاً اينترنت، همواره گسترش و تنوع روزافزون دامنه حملات کامپيوتري را در پي داشته است. از اين رو اغلب دسته بندي هاي گوناگوني در اين زمينه مطرح مي شود.
عموماً حملات کامپيوتري را مي توان در قالب دو گروه مورد بررسي قرار داد:
حملات فعال 7 و حملات غيرفعال 8
حملات فعال: اين حملات سبب تغيير يا نابودي کامل اطلاعات و نيز گاهي از کار افتادن کل شبکه مي شوند.
حملات غيرفعال: در اين نوع حملات، محتوا و جريان داده مشاهده شده و سپس اين اطلاعات در آينده به منظور اهداف خرابکارانه مورد استفاده قرار مي گيرد.
اکنون به بررسي تفصيلي مصاديق حملات در هريک از گروه ها مي پردازيم.
2-1- حملات کامپيوتري فعال
ويروس ها9
ويروس ها از نوعي بدافزارهاي کامپيوتري تشکيل شده اند که عموماً صدماتي را به محتواي داده ها و فعاليت هاي سيستمي وارد مي نمايند.اين قطعه کدهاي مخرب اغلب از طريق برنامه هاي اجرايي، هارد درايوهاي خارجي، پيوست هاي پست الکترونيک و يا سايتهاي اينترنتي مختلف، بطور خودکار روي سيستم نصب شده و به سرعت در ميان فايلهاي اطلاعاتي پخش مي شوند. ويروس چنانچه يکبار با موفقيت روي سيستم نصب شود، علاوه بر ايجاد آسيبهاي جدي، مي تواند به ديگر سيستم ها و شبکه هاي مرتبط با آن نيز منتقل شود.

روتکيت10
روتکيت يکي از پرخطرترين حملات کامپيوتري است. اين حمله از طريق مجموعه اي از برنامه ها، به يک هکر بالاترين مجوز دسترسي را مي دهد. به اين ترتيب، حمله کننده به داده هاي شخصي و فايلهاي سيستمي کامپيوتر و نيز شبکه هاي مرتبط با آن، دسترسي کامل مي يابد. اين نوع حمله نسبت به موارد ديگر، آسيبهاي بيشتري را به دنبال دارد. نفوذگر مي تواند هر نوع اطلاعات امنيتي را بدزدد و همچنين کنترل کامپيوتر را بدست گيرد. کامپيوترهايي که تحت سلطه روتکيت و نهايتاً هکر قرار مي گيرند را زامبي11 مي نامند.اگر خرابي در شبکه هاي کامپيوتري ايجاد شود، با پيگيري آن به زامبي مي رسيم و هکر نمي تواند رديابي شود. روتکيت، بدافزارهايي هستند که اغلب آنها را به خودي خود نمي توان مخرب يا خطرناک دانست، بلکه قرار گرفتن آنها در کنار ويروس ها يا کرم هاي اينترنتي و يا نوع استفاده از آنهاست که به آنان ماهيتي خطرناک مي بخشد.

اسب تراوا12
اسب تراوا نيز همانند ويروس ها، نوعي بدافزار است.اين حمله شامل برنامه شبکه اي پنهاني مي باشد که عموماً توسط هکرها جهت مقاصد خرابکارانه مورد استفاده قرار مي گيرد. اسب تراوا به عنوان ابزار انتقال دهنده ي ويروس ها و روتکيت ها و در جهت آسيب رساندن به داده هاي شخصي و يا ديگر سيستم هاي شبکه، عمل مي کند.

کرم ها13
کرم هاي کامپيوتري برنامه هاي اجرايي مخربي اند که داراي يک سازو کار تکثير هم هستند و بدون هيچ واسطه و ابزار مياني به داده ها آسيب مي رسانند. آنها مي توانند مستقلاً در طي ارتباطات شبکه منتشر شوند.
2-2- حملات کامپيوتري غير فعال
حملات استراق سمع14
در اين نوع حملات، حمله کننده محتواي داده ها و يا هر نوع اطلاعات ايمني را که بين دو کامپيوتر در شبکه رد و بدل مي شود، اخذ کرده و مي خواند.هکرها با آسيب رساندن به ساختار امنيتي ارتباطات شبکه در اينترنت و يک سيستم بسته، با استفاده از ابزارهاي استراق سمع مي توانند به داده هاي رد و بدل شده دسترسي پيدا کنند.

حملات رمز عبور15
اغلب حملات سايبري از اين نوع هستند. اين حملات درصدد يافتن و کشف رمزهاي عبور مختلف هستند تا با دسترسي به منابع سيستم و شبکه، پيکربندي هاي مربوطه را تغيير داده و يا حذف کنند. سپس داده هاي حفاظت شده را بگيرد و آنها را به کانالهاي ديگر هدايت کند.

حملات رد سرويس16
اين حملات، سيستم هاي يک شبکه و يا کامپيوترهاي شخصي را مورد هدف قرار داده و باعث ايجاد وقفه در عملکرد آنها مي شود. به اين صورت که ارسال بسته هايي از پروتکل هاي مختلف، با ايجاد اختلال در سرويسهاي ارتباطي بين کاربران مي شود و بنابراين کاربر از دسترسي به برخي منابع سيستم محروم خواهد شد.

حملات کليد سازگار17
در اين نوع حملات، حمله کننده جهت رمزگذاري و تائيد اعتبار داده هاي ايمن، يک کد مخفي بنام کليد سازگار مي گيرد. سپس حمله کننده اطلاعات را با سرور مربوطه رد و بدل مي کند تا داده هاي حساس را رمزگشايي کرده، تغيير داده و يا حذف نمايد. بعلاوه، حمله کننده همچنين با استفاده از تبديل هاي مختلف و کليدهاي ترکيبي به ديگر اطلاعات حساس و ايمن نيز دسترسي مي يابد.

تشخيص هويت جعلي18
حمله کننده با استفاده از آدرس IP، دسترسي غير مجازي به يک شبکه يا کامپيوتر پيدا مي کند. جهت کسب مجوز دسترسي، حمله کننده بسته هاي IP مختلفي را به آدرس مورد نظر فرستاده و بعد از دريافت مجوز دسترسي، هکر مي تواند اطلاعات روي سيستم را حذف يا تغيير داده و يا اينکه بدزدد. اين نوع حملات، روند جابجايي جريان داده ها را کند مي کند و سپس حمله کننده مي تواند با استفاده از آدرس IP هک شده، به ديگر سيستم هاي مرتبط در داخل و يا خارج از شبکه، آسيب برساند. عملکرد اين حمله بصورت آنلاين، گاهي فيشينگ 19 هم ناميده مي شود.
حملات لايه کاربردي20
اين نوع حملات، برنامه هاي کاربردي و سيستم عامل سرور را مورد هدف قرار مي دهند. هنگامي که آسيب اتفاق مي افتد، حمله کننده مي تواند از فيلترهاي کنترل دسترسي عبور کند و به آساني کنترل برنامه هاي کاربردي، سيستم و داده هاي ديگر کاربران مرتبط را بدست گيرد. اين مساله مي تواند منجر به خاتمه يافتن کار سيستم عامل و برنامه ها شود. اطلاعات ممکن است هک شده، حذف و يا تغيير داده شوند و نيز کنترل هاي امنيتي بطور دائمي غيرفعال شوند.
2-2-1- حملات رد سرويس
در اين پژوهش، ما سيستم ارائه شده را برروي دونوع از حملات رد سرويس مورد بررسي قرار مي دهيم.
جدول 2-1 دسته بندي ويژگي هاي حملات رد سرويس
Exhausting ResourcesStopping Service Forking process to fill the process table
Filling up the whole file system Process killing
System reconfiguration
Process crashingLocally
Packet floodsMalformed packet attackRemotely
2-2-1-1- دسته بندي حملات رد سرويس
عموماً حملات رد سرويس را از نظر اثر و نتيجه ي نهايي آنها مي توان در دو گروه بررسي نمود:
حملاتي که باعث از کار افتادن سيستم مي شوند و آنها که عملکردي در جهت سرريز شدن و تحليل کارايي سيستم دارند.
يکي از روشهاي متداول اين حمله، اشباع نمودن کامپيوتر موردنظر با درخواست هاي ارتباط خارجي مي باشد بطوريکه سيستم نتواند به درخواست هاي مجاز خود پاسخ دهد و يا اينکه دچار عکس العمل کندي در اين مورد شود. در اين حالت معمولاً حمله طوري طراحي شده است که کامپيوتر را وادار به بارگذاري مجدد21 و يا مصرف منابع کند بطوري که عملکرد آن مختل شود.
حملات رد سرويس در اکثر موارد زيرساخت TCP/IP را هدف قرار مي دهند و در سه نوع زير مي توان آنها را طبقه بندي نمود:
حملاتي که از نقاط آسيب پذير در مجموعه پروتکل هاي TCP/IP استفاده مي کنند.
حملاتي که از نقاط آسيب پذير در پياده سازي IPV4 استفاده مي کنند.
همچنين حملاتي با عملکرد شديد که سعي مي کنند همه ي منابع سيستم قرباني را مصرف کرده و بدين صورت سرويسها را غير قابل استفاده نمايند.

2-2-1-2- انواع حملات رد سرويس
حملات رد سرويس شامل يکي از انواع زير هستند:
Ping of Death
Ping flood
Teardrop
SYN flooding attack (Neptune attack)
Land attack
Smurf attack
اکنون هر يک از اين حملات مورد بررسي اجمالي قرار مي گيرد:

Ping of Death
اين حمله بسيار شناخته شده است و از ديرباز براي ايجاد اختلال در عملکرد سيستم راه دور (و يا حتي اجبار آن به راه اندازي مجدد) مورداستفاده قرار مي گرفته است. بطوريکه هيچ کاربري نتواند از سرويس هاي آن استفاده کند. اين نوع نفوذ منسوخ شده است چراکه امروزه تقريبآً همه افراد، سيستم هايشان را بروز کرده و آنها را در مقابل چنين حملاتي ايمن مي نمايند.
در اين حمله، سيستم مذکور با يک بسته داده که از بيشينه بايت هاي مجاز TCP/IP(که مقدار آن 65536 است) تجاوز ميکند، ping مي شود.
اين مساله تقريباً هميشه باعث اختلال، راه اندازي مجدد و يا از کار افتادن سيستم مي شود.

Ping flood
يکي از حملات ساده رد سرويس است که در آن حمله کننده، سيستم قرباني را با ارسال مکرر بسته هاي درخواست ICMP از کار مي اندازد. اين حمله تنها در صورتي موفق مي شود که حمله کننده پهناي باند بيشتري از قرباني داشته باشد.( به عنوان مثال، حمله کننده خط DSL و قرباني يک مودم dial up داشته باشد) حمله کننده اميدوار است که قرباني به بسته هاي ICMP که مي فرستد پاسخ دهد و به اين صورت پهناي باند خروجي را هم مانند پهناي باند ورودي اشغال کند. چنانچه سيستم مذکوز بسيار کند باشد، عملکرد اين حمله آنقدر دور CPU را اشغال مي کند که کاربر ناچار به خاموش کردن سيستم شود.

Teardrop
اين حمله از فرآيند آسيب پذيري در سرهم کردن دوباره بسته هاي داده استفاده مي کند. داده ها هنگام ارسال در اينترنت، در سيستم مبدأ به قطعات کوچکتري تقسيم مي شوند و سپس در سيستم مقصد کنار هم قرار مي گيرند.
در هر بسته داده، يک فيلد Offset در قسمت سرآمد22 وجود دارد که مشخص مي کند چه بازه اي از بايت ها با اين بسته منتقل مي شود. اين فيلد به همراه اعداد متوالي، به سيستم مقصد کمک مي کند که بسته هاي داده را با ترتيب درست سرهم کند.

1 to 1500 bytes
1501 to 3000 bytes
3000 to 4500 bytes
در اين حمله، يک سري از بسته هاي داده، با همپوشاني مقادير فيلد Offset به سيستم مقصد فرستاده مي شوند.
1 to 1500 bytes
1500 to 3000 bytes
1001 to 3600 bytes
درنتيجه سيستم مذکور قادر به سرهم کردن بسته نبوده و باعث ايجاد اختلال، از کار افتادن و يا راه اندازي مجدد سيستم مي شود.

SYN flooding attack (Neptune attack)
اين حمله ارتباط سه مرحله اي TCP/IP 23 را تحت تاثير قرار ميدهد.
به منظور برقراري ارتباط يک کلاينت با يک ميزبان، در حالت نرمال، سه مرحله زير اتفاق مي افتد:
کلاينت يک بسته SYN به ميزبان مي فرستد.
ميزبان به آن طي يک بسته SYN ACK پاسخ مي دهد.
کلاينت بعد از دريافت SYN ACK، يک بسته ACK به ميزبان برمي گرداند.
هنگام وقوع اين نوع حمله، چندين بسته SYN به سرور فرستاده مي شود ولي همه آنها آدرس IP مقصد نادرستي دارند. وقتي سيستم اين بسته ها را با آدرس IP جعلي دريافت مي کند، به هرکدام از آنها با يک SYN ACK پاسخ مي دهد. ولي اين پاسخ ها به آدرسهاي جعلي و نه آدرس IP خود حمله کننده، مي رود. حالا سيستم مذکور منتظر دريافت پيام ACK ازآدرس هاي IP جعلي است. از آنجا که اين آدرس ها درواقع وجود ندارند، سيستم قرباني هرگز بسته ACK را دريافت نمي کند.بنابراين در اين حالت تنها 2مرحله از پروسه ي فوق اجرا مي شود. به دليل آنکه اين درخواست ها مي خواهند منابع باارزش سيستم قرباني را اشغال کنند، تعدادي زيادي بسته SYN با آدرس جعلي فرستاده مي شود. اين چرخه در نهايت منجر به اختلال، از کار افتادن و يا راه اندازي مجدد سيستم مي شود.

Land attack
اين حمله نيز مشابه حمله SYN است، با اين تفاوت که بجاي آدرس IP جعلي، آدرس خود سيستم قرباني مورد استفاده قرار مي گيرد. اين باعث ايجاد يک حلقه نامتناهي در سيستم مي شود. ولي تقريباً همه ي سيستم ها، فيلترها و فايروال هاي در مقابل چنين حملاتي دارند.

Smurf attack
يکي از انواع حملات شديد ردسرويس است که در آن تعداد بسيار زيادي درخواست ping از طرف IP هاي جعلي از خود شبکه، به يک سيستم (طبيعتاً يک روتر) در شبکه مورد نظر فرستاده مي شود. وقتي روتر يک پيام ping را دريافت مي کند، آن را مسيريابي کرده يا بازمي گرداند که اين مساله باعث سرريز شدن شبکه با بسته ها و ايجاد اختلال در ترافيک شبکه مي شود. چنانچه تعداد زيادي گره، ميزبان و .. در شبکه موجود باشد، عملکرد اين حمله به آساني مي تواند کل شبکه را مسدود کرده و استفاده از هر سرويسي که توسط آن ارائه مي شود را مختل نمايد. در يک حمله Smurf، حمله کننده بسته هاي درخواست ICMP را به آدرس هاي IP پخش همگاني از راه دور هدايت مي کند.
سه عنصر در اين حمله نقش دارند: حمله کننده، واسط و قرباني
لازم به ذکر است که واسط هم مي تواند يک قرباني باشد.
واسط، يک بسته ICMP را دريافت کرده و آن را به آدرس هاي پخش همگاني شبکه شان ارسال مي کند. اگر واسط، ترافيک ICMP که به آدرس پخش همگاني هدايت شده را فيلتر نکند، بسياري از سيستم ها در شبکه آن را دريافت کرده و پاسخ را برمي گردانند.
از سوي ديگر، وقتي حمله کننده ها اين بسته را ايجاد مي کنند، آدرس IP سيستمي که قرباني حمله است را به عنوان آدرس مبدأ جعل مي کنند. درنتيجه وقتي همه سيستم ها در محدوده ي واسط، به درخواست ICMP پاسخ مي دهند، آنها درواقع پاسخ را به سيستم قرباني مي فرستند.
قرباني دستخوش تمهيدات شبکه قرار مي گيرد که مي تواند باعث غير قابل استفاده شدن شبکه گردد.

فصل سوم
مطالعه موردي
دو نوع مجموعه داده شامل DARPA 1999 و KDD 1999 ، در اين پژوهش مورد استفاده قرار مي گيرد، که در ادامه توضيحاتي درباره هر يک ارائه خواهد شد.
3-1 مطالعه موردي بر روي داده هاي DARPA 1999
اين مجموعه داده ها يکي از نخستين نمونه هاي استاندارد براي ارزيابي سيستم هاي تشخيص نفوذ بوده است و شامل 5 هفته ترافيک اخذ شده (در قالب فايلهايي با فرمت tcpdump) مي باشد که از دو نقطه در يک شبکه شبيه سازي شده، بدست آمده است. که يکي از اين دو، داخل محدوده، بين روتر ورودي24 و چهار سيستم قرباني، و ديگري خارج از محدوده، بين درگاه25 و اينترنت شبيه سازي شده، مي باشد. ما در اينجا فقط ترافيک داخل محدوده را درنظر مي گيريم.
اين 5 هفته بصورت زير هستند:
هفته اول و سوم: (براي مهياسازي سيستم هاي تشخيص ناهنجاري) درطي هفته اول، همه ي 22ساعت از داده هاي آموزشي در اين شبکه ي نمونه، اخذ شده و هيچ توقف زماني غيربرنامه ريزي شده اي رخ نداده است. در هفته سوم، فعاليت شبکه ساعت 4 صبح روز چهارم(پنجشنبه)، جهت انجام يک عمليات نگهداري غيربرنامه ريزي شده، کاهش يافت. جمع آوري ترافيک در نيمه شب روز پنجم متوقف شد.
هفته دوم: 43 حمله متعلق به 18 نوع مشخص، براي توسعه سيستم مورد استفاده قرار گرفت. درطي هفته دوم، فعاليت ترافيک مذکور، ساعت 3 صبح روز دوم(سه شنبه) جهت انجام يک عمليات نگهداري غيربرنامه ريزي شده، کاهش يافت.
هفته چهارم و پنجم: 201 حمله متعلق به 58 نوع (که 40 نوع آن جديد است) براي ارزيابي مورد استفاده قرار گرفت. در طي هفته ي چهارم، ترافيک داخلي براي روز دوم (سه شنبه)، از دست رفته است. در هفته ي پنجم، همه ي داده هاي ترافيک 22 ساعت، موجود و هيچ زمان توقفي در شبکه نيست.
همچنين تمام حملات اين مجموعه داده ها را مي توان در چهارگروه اصلي زير دسته بندي کرد:
حملات رد سرويس
دسترسي از راه دور به سيستم محلي26
دسترسي کاربر به مجوزهاي بالاي سيستم 27



قیمت: تومان


پاسخ دهید