6-2- پیشنهادات 93
فهرست منابع 94
فهرست جدول ها
عنوان صفحه
جدول شماره 2-1: دسته بندی ویژگی های حملات رد سرویس 12
جدول شماره 3-1: دسته بندی حملات موجود در مجموعه داده DARPA1999 19
جدول شماره 3-2: توصیف ویژگی های مجموعه داده تشخیص نفوذ KDD 99 23
جدول شماره 3-3: مشخصه های اولیه داده های تشخیص نفوذ KDD 99 25
جدول شماره 3-4: لیست حملات و تعداد آنها در مجموعه داده ی 10% KDD 99 26
جدول شماره 4-1: خلاصه ای از توابع شبکه مورد استفاده در شبکه های عصبی 41
جدول شماره 4-2: لیستی از توابع فعال سازی مورد استفاده در شبکه های عصبی 42
جدول شماره 5-1: مقایسه رفتار سه ضریب اول از ویولت های هار،
کویفلت1 و یک ویولت نسل دوم 59
جدول شماره 5-2: مقایسه عملکرد اعمال مرحله lifting در یک
و دو سطح بر روی دو ویولت هار و کویفلت1، در بازه زمانی 20 ثانیه 64
جدول شماره 5-3: مقایسه رفتار ضرایب اول در ویولت نسل دوم
و تابع ویولت متناظر با آن برای ویولت هار و کویفلت1 71
فهرست شکل ها
عنوان صفحه
شکل شماره 4-1 توزیع فرکانس زمانی در تبدیل ویولت،
تبدیل فوریه و نسخه زمان-کوتاه آن31
شکل شماره 4-2 یک طرح lifting کلی شامل مراحل Split، Dual و Primal 37
شکل شماره 4-3 معکوس طرح lifting 37
شکل شماره 4-4 انتخاب محورهای جدید برای داده های دوبعدی در PCA 38
شکل شماره 4-5 ساختار پیشنهادی نرون مک کولچ و پیت 41
شکل شماره 4-6 نمایش ساختاری از الگوی پرسپترون ساده 43
شکل شماره 4-7 ساختار کلی شبکه های عصبی مصنوعی
به شکل پرسپترون چندلایه ای43
شکل شماره 5-1-1 رفتار ضرایب اول، دوم و سوم ویولت هار
با پنجره زمانی 5 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم 50
شکل شماره 5-1-2 رفتار ضرایب اول، دوم و سوم ویولت کویفلت1
با پنجره زمانی 5 ثانیه ، بر روی بخشی از ترافیک روز سوم از هفته دوم 51
شکل شماره 5-1-3 رفتار ضرایب اول، دوم و سوم ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت هار) با پنجره زمانی 5 ثانیه،
بر روی بخشی ترافیک روز سوم از هفته دوم 52
شکل شماره 5-2-1 رفتار ضرایب اول، دوم و سوم ویولت هار با پنجره زمانی 10 ثانیه ،
بر روی بخشی از ترافیک روز سوم از هفته دوم 53
عنوان صفحه
شکل شماره 5-2-2 رفتار ضرایب اول، دوم و سوم ویولت کویفلت1
با پنجره زمانی 10 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم 54
شکل شماره 5-2-3 رفتار ضرایب اول، دوم و سوم ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت هار) با پنجره زمانی 10 ثانیه،
بر روی بخشی از ترافیک روز سوم از هفته دوم 55
شکل شماره 5-3-1 رفتار ضرایب اول، دوم و سوم ویولت هار با پنجره زمانی 15 ثانیه،
بر روی بخشی از ترافیک روز سوم از هفته دوم 56
شکل شماره 5-3-2 رفتار ضرایب اول، دوم و سوم ویولت کویفلت1
با پنجره زمانی 15 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم 57
شکل شماره 5-3-3 رفتار ضرایب اول، دوم و سوم ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت هار) با پنجره زمانی 15ثانیه،
بر روی بخشی از ترافیک روز سوم از هفته دوم 58
شکل شماره 5-4-1 رفتار ضرایب اول، دوم و سوم ویولت نسل دوم
(از طریق اعمال مرحله lifting روی ویولت هار و در یک سطح)
با پنجره زمانی 20 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم 60
شکل شماره 5-4-2 رفتار ضرایب اول، دوم و سوم ویولت نسل دوم
(از طریق اعمال مرحله lifting روی ویولت هار و در دو سطح)
با پنجره زمانی 20 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم 61

شکل شماره 5-4-3 رفتار ضرایب اول، دوم و سوم ویولت نسل دوم
(از طریق اعمال مرحله lifting روی ویولت کویفلت1 و در یک سطح)
با پنجره زمانی 20 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم 62
شکل شماره 5-4-4 رفتار ضرایب اول، دوم و سوم ویولت نسل دوم
(از طریق اعمال مرحله lifting روی ویولت کویفلت1 و در دو سطح)
با پنجره زمانی 20 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم 63
عنوان صفحه
شکل شماره 5-5-1 رفتار ضریب اول ویولت هار و ویولت نسل دوم آن
(از طریق اعمال مرحله lifting روی ویولت هار و در یک سطح)
با پنجره زمانی 10 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم 65
شکل شماره 5-5-2 رفتار ضریب اول ویولت هار و ویولت نسل دوم آن
(از طریق اعمال مرحله lifting روی ویولت هار و در یک سطح)
با پنجره زمانی 15 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم 66
شکل شماره 5-5-3 رفتار ضریب اول ویولت هار و ویولت نسل دوم آن
(از طریق اعمال مرحله lifting روی ویولت هار و در یک سطح)
با پنجره زمانی 20 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم 67
شکل شماره 5-6-1 رفتار ضریب اول ویولت کویفلت1 و ویولت نسل دوم آن
(از طریق اعمال مرحله lifting روی ویولت کویفلت1 و در یک سطح)
با پنجره زمانی 10 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم68
شکل شماره 5-6-2 رفتار ضریب اول ویولت کویفلت1 و ویولت نسل دوم آن
(از طریق اعمال مرحله lifting روی ویولت کویفلت1 و در یک سطح)
با پنجره زمانی 15 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم 69
شکل شماره 5-6-3 رفتار ضریب اول ویولت کویفلت1 و ویولت نسل دوم آن
(از طریق اعمال مرحله lifting روی ویولت کویفلت1 و در یک سطح)
با پنجره زمانی 20 ثانیه، بر روی بخشی از ترافیک روز سوم از هفته دوم 70
شکل شماره 5-7-1 نمودار انحراف استاندارد طی ساعت سوم تا پنجم
ترافیک روز سوم از هفته دوم در بازه های زمانی 5 ثانیه 72
شکل شماره 5-7-2 نمودار انحراف استاندارد طی ساعت سوم تا پنجم
ترافیک روز سوم از هفته دوم در بازه های زمانی 10 ثانیه 73
شکل شماره 5-7-3 نمودار انحراف استاندارد طی ساعت سوم تا پنجم
ترافیک روز سوم از هفته دوم در بازه های زمانی 15 ثانیه 74
عنوان صفحه
شکل شماره 5-8-1 نمودار انحراف از میانه ضرایب ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت هار) برای ترافیک
روز سوم از هفته دوم و رفتار حمله satan در آن75
شکل شماره 5-8-2 نمودار انحراف از میانه ضرایب ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت کویفلت1) برای
ترافیک روز سوم از هفته دوم و رفتار حمله smurf در آن 76
شکل شماره 5-8-3 نمودار انحراف از میانه ضرایب ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت هار) برای ترافیک
روز اول از هفته چهارم و رفتار حمله smurf در آن77
شکل شماره 5-8-4 نمودار انحراف از میانه ضرایب ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت کویفلت
1) برای ترافیک روز اول از هفته چهارم و رفتار حمله smurf در آن 77
شکل شماره 5-8-5 نمودار انحراف از میانه ضرایب ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت هار) برای ترافیک
روز سوم از هفته چهارم و رفتار حمله smurf در آن78
شکل شماره 5-8-6 نمودار انحراف از میانه ضرایب ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت کویفلت
1) برای ترافیک روز سوم از هفته چهارم و رفتار حمله smurf در آن 78
شکل شماره 5-8-7 نمودار انحراف از میانه ضرایب ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت هار)
برای ترافیک روز اول از هفته پنجم و رفتار حمله smurf در آن79
شکل شماره 5-8-8 نمودار انحراف از میانه ضرایب ویولت نسل دوم
(از طریق اعمال یک مرحله lifting بر روی ویولت کویفلت
1) برای ترافیک روز اول از هفته پنجم و رفتار حمله smurf در آن 79
عنوان صفحه
شکل شماره 5-9-1 نمودار boxplot مربوط به روزهای اول تا پنجم از هفته دوم 83
شکل 5-9-2 نمودار boxplot مربوط به روزهای اول تا پنجم از هفته چهارم 84
شکل 5-9-3 نمودار boxplot مربوط به روزهای اول تا پنجم از هفته پنجم 85
فصل اول
مقدمه
بی شک با توجه به گسترش فراگیر تکنولوژی و رویکرد متنوع در استفاده از شبکه های کامپیوتری، بحث امنیت اطلاعات و تشخیص بموقع و درست حملات و نفوذها در آن از اهمیت روزافزونی برخوردار است.
1-1- تقسیم بندی سیستم های تشخیص نفوذ
عموماً تکنیکهای تشخیص به لحاظ ماهیت به دو گروه تقسیم می شوند: تشخیص سوء استفاده و تشخیص رفتار غیرعادی.
در روشهای مبتنی برتشخیص سوء استفاده، حملات در صورتی قابل شناسایی اند که بتوان اثرات آنها را با تحلیل رفتارهای ترافیک شبکه مشخص نمود. به عبارت دیگر، براساس مجموعه ای از الگوهای نفوذ و نیز تطابق رفتار مشاهده شده با یکی از مدل ها، امکان تشخیص نفوذ فراهم می گردد. اشکال عمده ی این روش در تشخیص حملات ناشناخته ای است که تاکنون الگویی برای آنها وجود نداشته و بنابراین با این سیستم قابل شناسایی نمی باشند. برای جبران این محدودیت، روش دیگری براساس تشخیص رفتارهای غیرعادی مطرح شد. در این رویکرد که برای نخستین بار در پژوهش دنینگ [1] مطرح شد، اساس سیستم تشخیص نفوذ مبتنی بر رفتارعادی سیستم بنا گذارده می شود. در نتیجه اکثر تکنیکهای تشخیص رفتار غیرعادی، همواره در تلاش برای ایجاد پروفایل های عملکرد نرمال با محاسبه و ارزیابی معیارهای گوناگون بوده اند. براین اساس یک حمله زمانی تشخیص داده می شود که رفتار سیستم در آن لحظه، از این پروفایل نرمال تخطی کند.
بنا بر پژوهش اکسلسون[2]، نخستین سیستم های تشخیص رفتار غیر عادی مبنایی خودآموز داشتند. به این معنا که خودشان رفتار نرمال سیستم را تبیین می کردند. اگرچه تکنیکهای یادگیری ماشین نتایج خوبی دربرداشتند اما هنوز با محدودیت های قابل ملاحظه ای برای تشخیص حملات جدید مواجه بودند. بدین سبب تکنیکهای پردازش سیگنال به عنوان جایگزینی کارآمدتر برای روش های پیشین مطرح شدند.
از سوی دیگر، سیستم های تشخیص نفوذ را از نظر منبع مورد بررسی میتوان در دو گروه دسته بندی نمود[3]: تشخیص نفوذ براساس مدل میزبان و تشخیص نفوذ براساس ترافیک شبکه.
در روش مبتنی بر میزبان، مبنای تحلیل عملکرد بر روی یک سیستم منفرد است و معمولاً این روش براساس فعالیت های کاربر سیستم مثل فراخوانی های سیستمی می باشد. اما در تشخیص نفوذ براساس ترافیک شبکه، کل ساختار و یا هریک از میزبان ها می تواند به عنوان دامنه ی پیاده سازی تکنیکها مدنظر قرار گیرد.
1-2- تعریف پروژه
در این پژوهش، هر دو روش تشخیص سوء استفاده و تشخیص رفتار غیرعادی را در قالب دو راهکار مختلف مورد بررسی قرار می گیرد. در این راستا، از دو نوع داده، شامل مجموعه های DARPA1999 و KDD1999 استفاده شده است مجموعه داده DARPA1999 شامل پنج هفته ترافیک یک شبکه شبیه سازی شده، درقالب فایل های TCPDUMP می باشد که هفته اول و سوم، ترافیک نرمال و هفته دوم، چهارم و پنجم، حملات را نیز دربرمی گیرد. بعلاوه، بررسی ها نشان می دهد در بسیاری از پژوهش های پیشین، سیستم های تشخیص نفوذ از داده های جریان شبکه (مثل net flow، sflow و ipfix) استفاده می کنند. اما در این پژوهش، طی یک پروسه پیش پردازش، از فایل های TCPDUMP، گزارش جریان گرفته شده و براساس برخی ویژگی های این گزارشات، سیستم تشخیص فرموله سازی می گردد.
بعلاوه، پیش از این در مجموعه داده های تشخیص نفوذ 1999 KDD CUP [4]، لی و همکاران، داده های نفوذ3 را در قالب سه دسته از ویژگی ها مشخصه سازی کرده اند: ویژگی های اولیه4، ویژگی های محتوا5 و ویژگی های ترافیک6 [5] آنها سپس ارتباطات شبکه را با استفاده از 41 ویژگی، توصیف کردند. البته این رویکرد، حملات را تا حد ممکن پوشش می دهد. ولی بررسی بسته های شبکه با حجم بالایی از ویژگی ها، تشخیص نفوذهای آنلاین را تقریباً غیرممکن می سازد. درواقع، هدف انتخاب ویژگی ها، دستیابی به توصیف کامل همه ی فعالیت های مخرب شبکه نیست. بلکه مقصود آن، تبیین تعداد محدودی از نشانه هایی است که با آن می توان یک تشخیص موثر و کارا انجام داد.
راهکاری که براساس داده های DARPA1999 ارائه می شود، روشی مبتنی بر اعمال آنالیز ویولت بر برخی ویژگی های حاصل از یک پروسه پیش پردازش روی داده هاست. براساس این ضرایب ویولت، رفتار ترافیک نرمال و رفتار حملات شناسایی می شود. در ادامه، تشخیص دو حمله ی satan و smurf در این مجموعه داده را براساس این رویکرد بررسی می کنیم.
بعلاوه کارایی شبکه های عصبی به عنوان یکی از موفقیت آمیزترین ابزارهای تشخیص نفوذ در سالهای اخیر، مورد ارزیابی قرار خواهد گرفت. پیاده سازی این طرح براساس مجموعه داده KDD1999 انجام شده است. جهت بهبود کارایی این سیستم، با استفاده از PCA ، ابعاد بردار ورودی از 41 ویژگی به 7 ویژگی کاهش یافته است. نتایج بدست آمده، حاکی از بهبود قابل قبولی درافزایش نرخ تشخیص و کاهش اخطارهای نادرست می باشد.

1-3-هدف تحقیق
در این پژوهش، مبنای کار براساس کاربرد نسل جدید توابع ویولت و بطور اخص ویولت های نسل دوم می باشد که پیش از این در موارد مشابه بکار گرفته نشده است. بیش از آن، قصد داریم به این سوال اساسی پاسخ دهیم که “آیا با بهره گیری از توابع ویولت به نتایج مطلوب تری در تشخیص نفوذها و حملات شبکه دست خواهیم یافت؟”. امید است با مقایسه نتایج بدست آمده براساس کاربرد هریک از انواع توابع ویولت ذکر شده، گامی بسوی بهینه سازی روشهای پیشین برداریم.
1-4- ساختار پایان نامه
فصل اول (معرفی و طرح مساله). نخستین بخش این پژوهش، به توصیف اجمالی موضوع پروژه و بررسی ابعاد مساله پرداخته است.
فصل دوم (انواع حملات کامپیوتری). به دلیل اهمیت آشنایی با عملکرد حملات در تشخیص رفتارهای غیر عادی ترافیک شبکه، در این فصل به بررسی انواع حملات کامپیوتری و اثرات آنها پرداخته می شود .
فصل سوم (مطالعه موردی). در این فصل، توضیحاتی جامعی درباره ی دو مجموعه داده DARPA 1999 و KDD CUP 1999 ارائه می گردد.
فصل چهارم (مبانی نظری). در این فصل، مبانی نظری شبکه های عصبی، آنالیز ویولت و سپس بطور اخص توابع ویولت نسل دوم مطرح شده و در ادامه، تکنیک آنالیز مولفه های اصلی به عنوان یک روش کاهش ویژگی ها در جهت بهبود عملکرد سیستم نشخیص نفوذ، معرفی و تشریح می شود.
فصل پنجم (چهارچوب طرح پیشنهادی). در این فصل، ضمن بررسی روش های پیشین در ارائه سیستم های تشخیص نفوذ، آنها را با بکارگیری نسل جدید ویولت ها، مورد ارزیابی قرار گرفته و در ادامه، یک سیستم تشخیص نفوذ مبتنی بر شبکه عصبی و آنالیز مولفه های اصلی را معرفی می شود. بعلاوه در این فصل، مطالعات مشابه و دستاوردهای پیشین مورد بررسی قرار می گیرد. این پژوهش ها در دو بخش، شامل توصیف منظری از مطالعات انجام شده در حوزه ویولت ها و نیز کاربردهایی از شبکه های عصبی در سیستم های تشخیص نفوذ، ارائه می گردد.
فصل ششم (ارزیابی تجربی و نتایج). این فصل، مربوط به ارزیابی تجربی و نتایج حاصل از روش ارائه شده می باشد که طی آن به نتیجه گیری و ارائه افق پیش رو برای پژوهش های آینده پرداخته می شود.
فصل دوم
انواع حملات کامپیوتری
ماهیت ناشناس بودن کاربران شبکه های کامپیوتری و خصوصاً اینترنت، همواره گسترش و تنوع روزافزون دامنه حملات کامپیوتری را در پی داشته است. از این رو اغلب دسته بندی های گوناگونی در این زمینه مطرح می شود.
عموماً حملات کامپیوتری را می توان در قالب دو گروه مورد بررسی قرار داد:
حملات فعال 7 و حملات غیرفعال 8
حملات فعال: این حملات سبب تغییر یا نابودی کامل اطلاعات و نیز گاهی از کار افتادن کل شبکه می شوند.
حملات غیرفعال: در این نوع حملات، محتوا و جریان داده مشاهده شده و سپس این اطلاعات در آینده به منظور اهداف خرابکارانه مورد استفاده قرار می گیرد.
اکنون به بررسی تفصیلی مصادیق حملات در هریک از گروه ها می پردازیم.
2-1- حملات کامپیوتری فعال
ویروس ها9
ویروس ها از نوعی بدافزارهای کامپیوتری تشکیل شده اند که عموماً صدماتی را به محتوای داده ها و فعالیت های سیستمی وارد می نمایند.این قطعه کدهای مخرب اغلب از طریق برنامه های اجرایی، هارد درایوهای خارجی، پیوست های پست الکترونیک و یا سایتهای اینترنتی مختلف، بطور خودکار روی سیستم نصب شده و به سرعت در میان فایلهای اطلاعاتی پخش می شوند. ویروس چنانچه یکبار با موفقیت روی سیستم نصب شود، علاوه بر ایجاد آسیبهای جدی، می تواند به دیگر سیستم ها و شبکه های مرتبط با آن نیز منتقل شود.

روتکیت10
روتکیت یکی از پرخطرترین حملات کامپیوتری است. این حمله از طریق مجموعه ای از برنامه ها، به یک هکر بالاترین مجوز دسترسی را می دهد. به این ترتیب، حمله کننده به داده های شخصی و فایلهای سیستمی کامپیوتر و نیز شبکه های مرتبط با آن، دسترسی کامل می یابد. این نوع حمله نسبت به موارد دیگر، آسیبهای بیشتری را به دنبال دارد. نفوذگر می تواند هر نوع اطلاعات امنیتی را بدزدد و همچنین کنترل کامپیوتر را بدست گیرد. کامپیوترهایی که تحت سلطه روتکیت و نهایتاً هکر قرار می گیرند را زامبی11 می نامند.اگر خرابی در شبکه های کامپیوتری ایجاد شود، با پیگیری آن به زامبی می رسیم و هکر نمی تواند ردیابی شود. روتکیت، بدافزارهایی هستند که اغلب آنها را به خودی خود نمی توان مخرب یا خطرناک دانست، بلکه قرار گرفتن آنها در کنار ویروس ها یا کرم های اینترنتی و یا نوع استفاده از آنهاست که به آنان ماهیتی خطرناک می بخشد.

اسب تراوا12

در این سایت فقط تکه هایی از این مطلب با شماره بندی انتهای صفحه درج می شود که ممکن است هنگام انتقال از فایل ورد به داخل سایت کلمات به هم بریزد یا شکل ها درج نشود

شما می توانید تکه های دیگری از این مطلب را با جستجو در همین سایت بخوانید

ولی برای دانلود فایل اصلی با فرمت ورد حاوی تمامی قسمت ها با منابع کامل

اینجا کلیک کنید

اسب تراوا نیز همانند ویروس ها، نوعی بدافزار است.این حمله شامل برنامه شبکه ای پنهانی می باشد که عموماً توسط هکرها جهت مقاصد خرابکارانه مورد استفاده قرار می گیرد. اسب تراوا به عنوان ابزار انتقال دهنده ی ویروس ها و روتکیت ها و در جهت آسیب رساندن به داده های شخصی و یا دیگر سیستم های شبکه، عمل می کند.

کرم ها13
کرم های کامپیوتری برنامه های اجرایی مخربی اند که دارای یک سازو کار تکثیر هم هستند و بدون هیچ واسطه و ابزار میانی به داده ها آسیب می رسانند. آنها می توانند مستقلاً در طی ارتباطات شبکه منتشر شوند.
2-2- حملات کامپیوتری غیر فعال
حملات استراق سمع14
در این نوع حملات، حمله کننده محتوای داده ها و یا هر نوع اطلاعات ایمنی را که بین دو کامپیوتر در شبکه رد و بدل می شود، اخذ کرده و می خواند.هکرها با آسیب رساندن به ساختار امنیتی ارتباطات شبکه در اینترنت و یک سیستم بسته، با استفاده از ابزارهای استراق سمع می توانند به داده های رد و بدل شده دسترسی پیدا کنند.

حملات رمز عبور15
اغلب حملات سایبری از این نوع هستند. این حملات درصدد یافتن و کشف رمزهای عبور مختلف هستند تا با دسترسی به منابع سیستم و شبکه، پیکربندی های مربوطه را تغییر داده و یا حذف کنند. سپس داده های حفاظت شده را بگیرد و آنها را به کانالهای دیگر هدایت کند.

حملات رد سرویس16
این حملات، سیستم های یک شبکه و یا کامپیوترهای شخصی را مورد هدف قرار داده و باعث ایجاد وقفه در عملکرد آنها می شود. به این صورت که ارسال بسته هایی از پروتکل های مختلف، با ایجاد اختلال در سرویسهای ارتباطی بین کاربران می شود و بنابراین کاربر از دسترسی به برخی منابع سیستم محروم خواهد شد.

حملات کلید سازگار17
در این نوع حملات، حمله کننده جهت رمزگذاری و تائید اعتبار داده های ایمن، یک کد مخفی بنام کلید سازگار می گیرد. سپس حمله کننده اطلاعات را با سرور مربوطه رد و بدل می کند تا داده های حساس را رمزگشایی کرده، تغییر داده و یا حذف نماید. بعلاوه، حمله کننده همچنین با استفاده از تبدیل های مختلف و کلیدهای ترکیبی به دیگر اطلاعات حساس و ایمن نیز دسترسی می یابد.

تشخیص هویت جعلی18
حمله کننده با استفاده از آدرس IP، دسترسی غیر مجازی به یک شبکه یا کامپیوتر پیدا می کند. جهت کسب مجوز دسترسی، حمله کننده بسته های IP مختلفی را به آدرس مورد نظر فرستاده و بعد از دریافت مجوز دسترسی، هکر می تواند اطلاعات روی سیستم را حذف یا تغییر داده و یا اینکه بدزدد. این نوع حملات، روند جابجایی جریان داده ها را کند می کند و سپس حمله کننده می تواند با استفاده از آدرس IP هک شده، به دیگر سیستم های مرتبط در داخل و یا خارج از شبکه، آسیب برساند. عملکرد این حمله بصورت آنلاین، گاهی فیشینگ 19 هم نامیده می شود.
حملات لایه کاربردی20
این نوع حملات، برنامه های کاربردی و سیستم عامل سرور را مورد هدف قرار می دهند. هنگامی که آسیب اتفاق می افتد، حمله کننده می تواند از فیلترهای کنترل دسترسی عبور کند و به آسانی کنترل برنامه های کاربردی، سیستم و داده های دیگر کاربران مرتبط را بدست گیرد. این مساله می تواند منجر به خاتمه یافتن کار سیستم عامل و برنامه ها شود. اطلاعات ممکن است هک شده، حذف و یا تغییر داده شوند و نیز کنترل های امنیتی بطور دائمی غیرفعال شوند.
2-2-1- حملات رد سرویس
در این پژوهش، ما سیستم ارائه شده را برروی دونوع از حملات رد سرویس مورد بررسی قرار می دهیم.
جدول 2-1 دسته بندی ویژگی های حملات رد سرویس
Exhausting ResourcesStopping Service Forking process to fill the process table
Filling up the whole file system Process killing
System reconfiguration
Process crashingLocally
Packet floodsMalformed packet attackRemotely
2-2-1-1- دسته بندی حملات رد سرویس
عموماً حملات رد سرویس را از نظر اثر و نتیجه ی نهایی آنها می توان در دو گروه بررسی نمود:
حملاتی که باعث از کار افتادن سیستم می شوند و آنها که عملکردی در جهت سرریز شدن و تحلیل کارایی سیستم دارند.
یکی از روشهای متداول این حمله، اشباع نمودن کامپیوتر موردنظر با درخواست های ارتباط خارجی می باشد بطوریکه سیستم نتواند به درخواست های مجاز خود پاسخ دهد و یا اینکه دچار عکس العمل کندی در این مورد شود. در این حالت معمولاً حمله طوری طراحی شده است که کامپیوتر را وادار به بارگذاری مجدد21 و یا مصرف منابع کند بطوری که عملکرد آن مختل شود.
حملات رد سرویس در اکثر موارد زیرساخت TCP/IP را هدف قرار می دهند و در سه نوع زیر می توان آنها را طبقه بندی نمود:
حملاتی که از نقاط آسیب پذیر در مجموعه پروتکل های TCP/IP استفاده می کنند.
حملاتی که از نقاط آسیب پذیر در پیاده سازی IPV4 استفاده می کنند.
همچنین حملاتی با عملکرد شدید که سعی می کنند همه ی منابع سیستم قربانی را مصرف کرده و بدین صورت سرویسها را غیر قابل استفاده نمایند.

2-2-1-2- انواع حملات رد سرویس
حملات رد سرویس شامل یکی از انواع زیر هستند:
Ping of Death
Ping flood
Teardrop
SYN flooding attack (Neptune attack)
Land attack
Smurf attack
اکنون هر یک از این حملات مورد بررسی اجمالی قرار می گیرد:

Ping of Death
این حمله بسیار شناخته شده است و از دیرباز برای ایجاد اختلال در عملکرد سیستم راه دور (و یا حتی اجبار آن به راه اندازی مجدد) مورداستفاده قرار می گرفته است. بطوریکه هیچ کاربری نتواند از سرویس های آن استفاده کند. این نوع نفوذ منسوخ شده است چراکه امروزه تقریبآً همه افراد، سیستم هایشان را بروز کرده و آنها را در مقابل چنین حملاتی ایمن می نمایند.
در این حمله، سیستم مذکور با یک بسته داده که از بیشینه بایت های مجاز TCP/IP(که مقدار آن 65536 است) تجاوز میکند، ping می شود.
این مساله تقریباً همیشه باعث اختلال، راه اندازی مجدد و یا از کار افتادن سیستم می شود.

Ping flood
یکی از حملات ساده رد سرویس است که در آن حمله کننده، سیستم قربانی را با ارسال مکرر بسته های درخواست ICMP از کار می اندازد. این حمله تنها در صورتی موفق می شود که حمله کننده پهنای باند بیشتری از قربانی داشته باشد.( به عنوان مثال، حمله کننده خط DSL و قربانی یک مودم dial up داشته باشد) حمله کننده امیدوار است که قربانی به بسته های ICMP که می فرستد پاسخ دهد و به این صورت پهنای باند خروجی را هم مانند پهنای باند ورودی اشغال کند. چنانچه سیستم مذکوز بسیار کند باشد، عملکرد این حمله آنقدر دور CPU را اشغال می کند که کاربر ناچار به خاموش کردن سیستم شود.

Teardrop
این حمله از فرآیند آسیب پذیری در سرهم کردن دوباره بسته های داده استفاده می کند. داده ها هنگام ارسال در اینترنت، در سیستم مبدأ به قطعات کوچکتری تقسیم می شوند و سپس در سیستم مقصد کنار هم قرار می گیرند.
در هر بسته داده، یک فیلد Offset در قسمت سرآمد22 وجود دارد که مشخص می کند چه بازه ای از بایت ها با این بسته منتقل می شود. این فیلد به همراه اعداد متوالی، به سیستم مقصد کمک می کند که بسته های داده را با ترتیب درست سرهم کند.

1 to 1500 bytes
1501 to 3000 bytes
3000 to 4500 bytes
در این حمله، یک سری از بسته های داده، با همپوشانی مقادیر فیلد Offset به سیستم مقصد فرستاده می شوند.
1 to 1500 bytes
1500 to 3000 bytes
1001 to 3600 bytes
درنتیجه سیستم مذکور قادر به سرهم کردن بسته نبوده و باعث ایجاد اختلال، از کار افتادن و یا راه اندازی مجدد سیستم می شود.

SYN flooding attack (Neptune attack)
این حمله ارتباط سه مرحله ای TCP/IP 23 را تحت تاثیر قرار میدهد.
به منظور برقراری ارتباط یک کلاینت با یک میزبان، در حالت نرمال، سه مرحله زیر اتفاق می افتد:
کلاینت یک بسته SYN به میزبان می فرستد.
میزبان به آن طی یک بسته SYN ACK پاسخ می دهد.
کلاینت بعد از دریافت SYN ACK، یک بسته ACK به میزبان برمی گرداند.
هنگام وقوع این نوع حمله، چندین بسته SYN به سرور فرستاده می شود ولی همه آنها آدرس IP مقصد نادرستی دارند. وقتی سیستم این بسته ها را با آدرس IP جعلی دریافت می کند، به هرکدام از آنها با یک SYN ACK پاسخ می دهد. ولی این پاسخ ها به آدرسهای جعلی و نه آدرس IP خود حمله کننده، می رود. حالا سیستم مذکور منتظر دریافت پیام ACK ازآدرس های IP جعلی است. از آنجا که این آدرس ها درواقع وجود ندارند، سیستم قربانی هرگز بسته ACK را دریافت نمی کند.بنابراین در این حالت تنها 2مرحله از پروسه ی فوق اجرا می شود. به دلیل آنکه این درخواست ها می خواهند منابع باارزش سیستم قربانی را اشغال کنند، تعدادی زیادی بسته SYN با آدرس جعلی فرستاده می شود. این چرخه در نهایت منجر به اختلال، از کار افتادن و یا راه اندازی مجدد سیستم می شود.

Land attack
این حمله نیز مشابه حمله SYN است، با این تفاوت که بجای آدرس IP جعلی، آدرس خود سیستم قربانی مورد استفاده قرار می گیرد. این باعث ایجاد یک حلقه نامتناهی در سیستم می شود. ولی تقریباً همه ی سیستم ها، فیلترها و فایروال های در مقابل چنین حملاتی دارند.

Smurf attack
یکی از انواع حملات شدید ردسرویس است که در آن تعداد بسیار زیادی درخواست ping از طرف IP های جعلی از خود شبکه، به یک سیستم (طبیعتاً یک روتر) در شبکه مورد نظر فرستاده می شود. وقتی روتر یک پیام ping را دریافت می کند، آن را مسیریابی کرده یا بازمی گرداند که این مساله باعث سرریز شدن شبکه با بسته ها و ایجاد اختلال در ترافیک شبکه می شود. چنانچه تعداد زیادی گره، میزبان و .. در شبکه موجود باشد، عملکرد این حمله به آسانی می تواند کل شبکه را مسدود کرده و استفاده از هر سرویسی که توسط آن ارائه می شود را مختل نماید. در یک حمله Smurf، حمله کننده بسته های درخواست ICMP را به آدرس های IP پخش همگانی از راه دور هدایت می کند.
سه عنصر در این حمله نقش دارند: حمله کننده، واسط و قربانی
لازم به ذکر است که واسط هم می تواند یک قربانی باشد.
واسط، یک بسته ICMP را دریافت کرده و آن را به آدرس های پخش همگانی شبکه شان ارسال می کند. اگر واسط، ترافیک ICMP که به آدرس پخش همگانی هدایت شده را فیلتر نکند، بسیاری از سیستم ها در شبکه آن را دریافت کرده و پاسخ را برمی گردانند.
از سوی دیگر، وقتی حمله کننده ها این بسته را ایجاد می کنند، آدرس IP سیستمی که قربانی حمله است را به عنوان آدرس مبدأ جعل می کنند. درنتیجه وقتی همه سیستم ها در محدوده ی واسط، به درخواست ICMP پاسخ می دهند، آنها درواقع پاسخ را به سیستم قربانی می فرستند.
قربانی دستخوش تمهیدات شبکه قرار می گیرد که می تواند باعث غیر قابل استفاده شدن شبکه گردد.

فصل سوم
مطالعه موردی
دو نوع مجموعه داده شامل DARPA 1999 و KDD 1999 ، در این پژوهش مورد استفاده قرار می گیرد، که در ادامه توضیحاتی درباره هر یک ارائه خواهد شد.
3-1 مطالعه موردی بر روی داده های DARPA 1999
این مجموعه داده ها یکی از نخستین نمونه های استاندارد برای ارزیابی سیستم های تشخیص نفوذ بوده است و شامل 5 هفته ترافیک اخذ شده (در قالب فایلهایی با فرمت tcpdump) می باشد که از دو نقطه در یک شبکه شبیه سازی شده، بدست آمده است. که یکی از این دو، داخل محدوده، بین روتر ورودی24 و چهار سیستم قربانی، و دیگری خارج از محدوده، بین درگاه25 و اینترنت شبیه سازی شده، می باشد. ما در اینجا فقط ترافیک داخل محدوده را درنظر می گیریم.
این 5 هفته بصورت زیر هستند:
هفته اول و سوم: (برای مهیاسازی سیستم های تشخیص ناهنجاری) درطی هفته اول، همه ی 22ساعت از داده های آموزشی در این شبکه ی نمونه، اخذ شده و هیچ توقف زمانی غیربرنامه ریزی شده ای رخ نداده است. در هفته سوم، فعالیت شبکه ساعت 4 صبح روز چهارم(پنجشنبه)، جهت انجام یک عملیات نگهداری غیربرنامه ریزی شده، کاهش یافت. جمع آوری ترافیک در نیمه شب روز پنجم متوقف شد.
هفته دوم: 43 حمله متعلق به 18 نوع مشخص، برای توسعه سیستم مورد استفاده قرار گرفت. درطی هفته دوم، فعالیت ترافیک مذکور، ساعت 3 صبح روز دوم(سه شنبه) جهت انجام یک عملیات نگهداری غیربرنامه ریزی شده، کاهش یافت.

دسته بندی : پایان نامه ها

پاسخ دهید