پایان نامه با کلید واژه های بهبود عملکرد

2 نمودار انحراف از میانه ضرایب ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت کویفلت1) برای
ترافیک روز سوم از هفته دوم و رفتار حمله smurf در آن 76
شکل شماره 5-8-3 نمودار انحراف از میانه ضرایب ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت هار) برای ترافیک
روز اول از هفته چهارم و رفتار حمله smurf در آن 77
شکل شماره 5-8-4 نمودار انحراف از میانه ضرایب ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت کویفلت
1) برای ترافیک روز اول از هفته چهارم و رفتار حمله smurf در آن 77
شکل شماره 5-8-5 نمودار انحراف از میانه ضرایب ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت هار) برای ترافیک
روز سوم از هفته چهارم و رفتار حمله smurf در آن 78
شکل شماره 5-8-6 نمودار انحراف از میانه ضرایب ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت کویفلت
1) برای ترافیک روز سوم از هفته چهارم و رفتار حمله smurf در آن 78
شکل شماره 5-8-7 نمودار انحراف از میانه ضرایب ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت هار)
برای ترافیک روز اول از هفته پنجم و رفتار حمله smurf در آن 79
شکل شماره 5-8-8 نمودار انحراف از میانه ضرایب ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت کویفلت
1) برای ترافیک روز اول از هفته پنجم و رفتار حمله smurf در آن 79
عنوان صفحه
شکل شماره 5-9-1 نمودار boxplot مربوط به روزهای اول تا پنجم از هفته دوم 83
شکل 5-9-2 نمودار boxplot مربوط به روزهای اول تا پنجم از هفته چهارم 84
شکل 5-9-3 نمودار boxplot مربوط به روزهای اول تا پنجم از هفته پنجم 85
فصل اول
مقدمه
بی شک با توجه به گسترش فراگیر تکنولوژی و رویکرد متنوع در استفاده از شبکه های کامپیوتری، بحث امنیت اطلاعات و تشخیص بموقع و درست حملات و نفوذها در آن از اهمیت روزافزونی برخوردار است.
1-1- تقسیم بندی سیستم های تشخیص نفوذ
عموماً تکنیکهای تشخیص به لحاظ ماهیت به دو گروه تقسیم می شوند: تشخیص سوء استفاده و تشخیص رفتار غیرعادی.
در روشهای مبتنی برتشخیص سوء استفاده، حملات در صورتی قابل شناسایی اند که بتوان اثرات آنها را با تحلیل رفتارهای ترافیک شبکه مشخص نمود. به عبارت دیگر، براساس مجموعه ای از الگوهای نفوذ و نیز تطابق رفتار مشاهده شده با یکی از مدل ها، امکان تشخیص نفوذ فراهم می گردد. اشکال عمده ی این روش در تشخیص حملات ناشناخته ای است که تاکنون الگویی برای آنها وجود نداشته و بنابراین با این سیستم قابل شناسایی نمی باشند. برای جبران این محدودیت، روش دیگری براساس تشخیص رفتارهای غیرعادی مطرح شد. در این رویکرد که برای نخستین بار در پژوهش دنینگ [1] مطرح شد، اساس سیستم تشخیص نفوذ مبتنی بر رفتارعادی سیستم بنا گذارده می شود. در نتیجه اکثر تکنیکهای تشخیص رفتار غیرعادی، همواره در تلاش برای ایجاد پروفایل های عملکرد نرمال با محاسبه و ارزیابی معیارهای گوناگون بوده اند. براین اساس یک حمله زمانی تشخیص داده می شود که رفتار سیستم در آن لحظه، از این پروفایل نرمال تخطی کند.
بنا بر پژوهش اکسلسون[2]، نخستین سیستم های تشخیص رفتار غیر عادی مبنایی خودآموز داشتند. به این معنا که خودشان رفتار نرمال سیستم را تبیین می کردند. اگرچه تکنیکهای یادگیری ماشین نتایج خوبی دربرداشتند اما هنوز با محدودیت های قابل ملاحظه ای برای تشخیص حملات جدید مواجه بودند. بدین سبب تکنیکهای پردازش سیگنال به عنوان جایگزینی کارآمدتر برای روش های پیشین مطرح شدند.
از سوی دیگر، سیستم های تشخیص نفوذ را از نظر منبع مورد بررسی میتوان در دو گروه دسته بندی نمود[3]: تشخیص نفوذ براساس مدل میزبان و تشخیص نفوذ براساس ترافیک شبکه.
در روش مبتنی بر میزبان، مبنای تحلیل عملکرد بر روی یک سیستم منفرد است و معمولاً این روش براساس فعالیت های کاربر سیستم مثل فراخوانی های سیستمی می باشد. اما در تشخیص نفوذ براساس ترافیک شبکه، کل ساختار و یا هریک از میزبان ها می تواند به عنوان دامنه ی پیاده سازی تکنیکها مدنظر قرار گیرد.
1-2- تعریف پروژه
در این پژوهش، هر دو روش تشخیص سوء استفاده و تشخیص رفتار غیرعادی را در قالب دو راهکار مختلف مورد بررسی قرار می گیرد. در این راستا، از دو نوع داده، شامل مجموعه های DARPA1999 و KDD1999 استفاده شده است مجموعه داده DARPA1999 شامل پنج هفته ترافیک یک شبکه شبیه سازی شده، درقالب فایل های TCPDUMP می باشد که هفته اول و سوم، ترافیک نرمال و هفته دوم، چهارم و پنجم، حملات را نیز دربرمی گیرد. بعلاوه، بررسی ها نشان می دهد در بسیاری از پژوهش های پیشین، سیستم های تشخیص نفوذ از داده های جریان شبکه (مثل net flow، sflow و ipfix) استفاده می کنند. اما در این پژوهش، طی یک پروسه پیش پردازش، از فایل های TCPDUMP، گزارش جریان گرفته شده و براساس برخی ویژگی های این گزارشات، سیستم تشخیص فرموله سازی می گردد.
بعلاوه، پیش از این در مجموعه داده های تشخیص نفوذ 1999 KDD CUP [4]، لی و همکاران، داده های نفوذ3 را در قالب سه دسته از ویژگی ها مشخصه سازی کرده اند: ویژگی های اولیه4، ویژگی های محتوا5 و ویژگی های ترافیک6 [5] آنها سپس ارتباطات شبکه را با استفاده از 41 ویژگی، توصیف کردند. البته این رویکرد، حملات را تا حد ممکن پوشش می دهد. ولی بررسی بسته های شبکه با حجم بالایی از ویژگی ها، تشخیص نفوذهای آنلاین را تقریباً غیرممکن می سازد. درواقع، هدف انتخاب ویژگی ها، دستیابی به توصیف کامل همه ی فعالیت های مخرب شبکه نیست. بلکه مقصود آن، تبیین تعداد محدودی از نشانه هایی است که با آن می توان یک تشخیص موثر و کارا انجام داد.
راهکاری که براساس داده های DARPA1999 ارائه می شود، روشی مبتنی بر اعمال آنالیز ویولت بر برخی ویژگی های حاصل از یک پروسه پیش پردازش روی داده هاست. براساس این ضرایب ویولت، رفتار ترافیک نرمال و رفتار حملات شناسایی می شود. در ادامه، تشخیص دو حمله ی satan و smurf در این مجموعه داده را براساس این رویکرد بررسی می کنیم.
بعلاوه کارایی شبکه های عصبی به عنوان یکی از موفقیت آمیزترین ابزارهای تشخیص نفوذ در سالهای اخیر، مورد ارزیابی قرار خواهد گرفت. پیاده سازی این طرح براساس مجموعه داده KDD1999 انجام شده است. جهت بهبود کارایی این سیستم، با استفاده از PCA ، ابعاد بردار ورودی از 41 ویژگی به 7 ویژگی کاهش یافته است. نتایج بدست آمده، حاکی از بهبود قابل قبولی درافزایش نرخ تشخیص و کاهش اخطارهای نادرست می باشد.
1-3-هدف تحقیق
در این پژوهش، مبنای کار براساس کاربرد نسل جدید توابع ویولت و بطور اخص ویولت های نسل دوم می باشد که پیش از این در موارد مشابه بکار گرفته نشده است. بیش از آن، قصد داریم به این سوال اساسی پاسخ دهیم که “آیا با بهره گیری از توابع ویولت به نتایج مطلوب تری در تشخیص نفوذها و حملات شبکه دست خواهیم یافت؟”. امید است با مقایسه نتایج بدست آمده براساس کاربرد هریک از انواع توابع ویولت ذکر شده، گامی بسوی بهینه سازی روشهای پیشین برداریم.
1-4- ساختار پایان نامه
فصل اول (معرفی و طرح مساله). نخستین بخش این پژوهش، به توصیف اجمالی موضوع پروژه و بررسی ابعاد مساله پرداخته است.
فصل دوم (انواع حملات کامپیوتری). به دلیل اهمیت آشنایی با عملکرد حملات در تشخیص رفتارهای غیر عادی ترافیک شبکه، در این فصل به بررسی انواع حملات کامپیوتری و اثرات آنها پرداخته می شود .
فصل سوم (مطالعه موردی). در این فصل، توضیحاتی جامعی درباره ی دو مجموعه داده DARPA 1999 و KDD CUP 1999 ارائه می گردد.
فصل چهارم (مبانی نظری). در این فصل، مبانی نظری شبکه های عصبی، آنالیز ویولت و سپس بطور اخص توابع ویولت نسل دوم مطرح شده و در ادامه، تکنیک آنالیز مولفه های اصلی به عنوان یک روش کاهش ویژگی ها در جهت بهبود عملکرد سیستم نشخیص نفوذ، معرفی و تشریح می شود.
فصل پنجم (چهارچوب طرح پیشنهادی). در این فصل، ضمن بررسی روش های پیشین در ارائه سیستم های تشخیص نفوذ، آنها را با بکارگیری نسل جدید ویولت ها، مورد ارزیابی قرار گرفته و در ادامه، یک سیستم تشخیص نفوذ مبتنی بر شبکه عصبی و آنالیز مولفه های اصلی را معرفی می شود. بعلاوه در این فصل، مطالعات مشابه و دستاوردهای پیشین مورد بررسی قرار می گیرد. این پژوهش ها در دو بخش، شامل توصیف منظری از مطالعات انجام شده در حوزه ویولت ها و نیز کاربردهایی از شبکه های عصبی در سیستم های تشخیص نفوذ، ارائه می گردد.
فصل ششم (ارزیابی تجربی و نتایج). این فصل، مربوط به ارزیابی تجربی و نتایج حاصل از روش ارائه شده می باشد که طی آن به نتیجه گیری و ارائه افق پیش رو برای پژوهش های آینده پرداخته می شود.
فصل دوم
انواع حملات کامپیوتری
ماهیت ناشناس بودن کاربران شبکه های کامپیوتری و خصوصاً اینترنت، همواره گسترش و تنوع روزافزون دامنه حملات کامپیوتری را در پی داشته است. از این رو اغلب دسته بندی های گوناگونی در این زمینه مطرح می شود.
عموماً حملات کامپیوتری را می توان در قالب دو گروه مورد بررسی قرار داد:
حملات فعال 7 و حملات غیرفعال 8
حملات فعال: این حملات سبب تغییر یا نابودی کامل اطلاعات و نیز گاهی از کار افتادن کل شبکه می شوند.
حملات غیرفعال: در این نوع حملات، محتوا و جریان داده مشاهده شده و سپس این اطلاعات در آینده به منظور اهداف خرابکارانه مورد استفاده قرار می گیرد.
اکنون به بررسی تفصیلی مصادیق حملات در هریک از گروه ها می پردازیم.
2-1- حملات کامپیوتری فعال
ویروس ها9
ویروس ها از نوعی بدافزارهای کامپیوتری تشکیل شده اند که عموماً صدماتی را به محتوای داده ها و فعالیت های سیستمی وارد می نمایند.این قطعه کدهای مخرب اغلب از طریق برنامه های اجرایی، هارد درایوهای خارجی، پیوست های پست الکترونیک و یا سایتهای اینترنتی مختلف، بطور خودکار روی سیستم نصب شده و به سرعت در میان فایلهای اطلاعاتی پخش می شوند. ویروس چنانچه یکبار با موفقیت روی سیستم نصب شود، علاوه بر ایجاد آسیبهای جدی، می تواند به دیگر سیستم ها و شبکه های مرتبط با آن نیز منتقل شود.
روتکیت10
روتکیت یکی از پرخطرترین حملات کامپیوتری است. این حمله از طریق مجموعه ای از برنامه ها، به یک هکر بالاترین مجوز دسترسی را می دهد. به این ترتیب، حمله کننده به داده های شخصی و فایلهای سیستمی کامپیوتر و نیز شبکه های مرتبط با آن، دسترسی کامل می یابد. این نوع حمله نسبت به موارد دیگر، آسیبهای بیشتری را به دنبال دارد. نفوذگر می تواند هر نوع اطلاعات امنیتی را بدزدد و همچنین کنترل کامپیوتر را بدست گیرد. کامپیوترهایی که تحت سلطه روتکیت و نهایتاً هکر قرار می گیرند را زامبی11 می نامند.اگر خرابی در شبکه های کامپیوتری ایجاد شود، با پیگیری آن به زامبی می رسیم و هکر نمی تواند ردیابی شود. روتکیت، بدافزارهایی هستند که اغلب آنها را به خودی خود نمی توان مخرب یا خطرناک دانست، بلکه قرار گرفتن آنها در کنار ویروس ها یا کرم های اینترنتی و یا نوع استفاده از آنهاست که به آنان ماهیتی خطرناک می بخشد.
اسب تراوا12
اسب تراوا نیز همانند ویروس ها، نوعی بدافزار است.این حمله شامل برنامه شبکه ای پنهانی می باشد که عموماً توسط هکرها جهت مقاصد خرابکارانه مورد استفاده قرار می گیرد.

مطلب مرتبط :   پایان نامه ارشد رایگان با موضوعبیماران مبتلا، شیوه زندگی، کارآزمایی بالینی

دیدگاهتان را بنویسید