راهنمای نگارش مقاله درباره یک الگوریتم جدید مبتنی بر بسته تله جهت کشف حمله سیاهچاله ... |
 |
۳. بعد از انجام پیش پردازش، عمل دست بندی و ساختن مدل برای حملات انجام میشود. دادههای تشخیص سوء استفاده، بر اساس قوانین و الگوها دسته بندی می شوند و داده های تشخیص ناهنجاری بر اساس نشانه ها و مشخصات رفتاری کاربران و سیستم عمل دسته بندی میشود.
۴. بعد از ساختن مدلهای مورد نظر، آنها را در محلهایی ذخیره میکنند. بدین ترتیب موتور آنالیزگرساخته می شود.
آنالیز کردن دادهها
فاز دوم انجام آنالیز میباشد. این کار توسط موتور آنالیزگر که در فاز قبل ساخته شده و اعمال آن بر روی دادههای ورودی انجام میشود. روند انجام کار در این فاز به این ترتیب است:
۱. دریافت دادههای جدید که توسط هر یک از منابع اطلاعات میتواند تولید شده باشد.
۲. انجام پیش پردازش بر روی دادههای جدید، برای آنکه بتوان آنها را با مدلهای موجود در موتور آنالیزگر بررسی کرد. در تشخیص سوء استفاده این کار با تبدیل اطلاعات به فرمت موردنظر انجام میشود و در تشخیص ناهنجاری این کار با تعدیل نشانهها و مشخصات رفتاری کاربران و سیستم انجام میشود.
۳. عمل آنالیز بر روی اطلاعات پیش پردازش شده انجام میشود. این کار با مقایسه نشانهها و نشانههای ذخیره شده از قبل در موتور آنالیزگر انجام میشود.
بازگشت و اصلاح
در این فاز که به موازات فاز قبل پیش میرود، عمل اصلاحی بر روی موتور آنالیزگر صورت میگیرد. در حالت تشخیص سوء استفاده این کار با به روز درآوردن الگوها و نشانههای حملات انجام میشود و در تشخیص ناهنجاری مشخصات ساخته شده از رفتار کاربران و سیستم به روز درآورده می شود.
با توجه به آنکه روشهای تشخیص نفوذ به دو دسته کلی تشخیص سوء استفاده و تشخیص ناهنجاری تقسیم میشوند، در هر یک از تکنیکهای مشخصی به منظور تشخیص نفوذ استفاده میشود. در این بخش تکنیکهای استفاده شده در هر یک شرح داده می شود.
۲-۱-۱۰ تکنیک های پاسخ
پاسخهایی که سیستمهای تشخیص نفوذ میتوانند داشته باشند به دو دسته کلی فعال و غیرفعال دسته بندی میشوند. درحالت فعال برای مثال میتوان جلوی حمله را گرفت و یا سیستم را بلاک کرد. در حالت غیرفعال، سیستم مشکلات را ذخیره و آنها را گزارش میدهد. در یک سیستم هر دو نوع میتواند همزمان وجود داشته باشد. یکی از بخشهای مهم هرسیستم تشخیص نفوذ این است که تشخیص دهد چه نوع حملهای صورت گرفته و متناسب با آن حمله چه پاسخی بایدداده شود.
الف - پاسخ فعال[۴۶]
در پاسخ فعال سیستم بعد از مشخص شدن نوع حمله باید عکس العمل لازم را انجام دهد. برای پاسخگویی حالات متفاوتی وجود دارد که در ادامه به سه مورد از آنها اشاره میشود:
عمل عکس در مورد حمله کننده
اولین حالت پاسخگویی، عمل متقابل در مقابل حمله کننده است. مشخص ترین راه در این حالت، پیش رفتن معکوس به منظور پیدا کردن منبع حمله است. بعد از پیدا کردن منبع حمله میتوان جلوی آن را گرفت و یا آنکه ارتباط با آن را قطع کرد. پاسخهایی که در این رابطه وجود دارد میتوانند به صورت اتوماتیک باشند و یاآنکه توسط فرد فعال شوند.
تغییر دادن سیستم
یکی از روشهای پاسخ فعال تغییر شرایط سیستم است. اگر چه که این نوع پاسخگویی بیسروصداترین نوع پاسخگویی است اما حالت بهینه نیز میباشد . ایده کلی در این روش پوشاندن رخنههایی است که حملات از آن مناطق صورت میگیرد. سیستمهای دفاعی در سیستمهای خودشفادهنده همانند سیستم های دفاعی بدن میباشد، بدین صورت که خود سیستم سعی در ترمیم مشکلات خود میکند.
جمع آوری اطلاعات بیشتر
سومین حالت پاسخگویی جمع آوری اطلاعات بیشتر در مورد حمله است. این حالت در مواقعی استفاده میشود که سیستم تحت حفاظت، دارای اهمیت ویژهای باشد و صاحب اصلی سیستم میخواهد که درمان اصلی حمله را بدست آورد. در مواقعی سیستم اصلی با سیستم دیگری جایگزین میشود که به عنوان محلی برای حمله مورد استفاده قرار می گیرد. این سیستم دارای اسامی متفاوتی می باشد نظیر"honey pot” و ."fish bowls” این سیستم مجهز به تمام مشخصاتی است که سیستم اصلی دارا میباشد. بدین ترتیب میتوان بر اساس حملاتی که به سیستم جایگزین میشود اطلاعات بیشتری در مورد حمله جمع آوری کرد.
ب- پاسخ غیرفعال[۴۷]
در روش غیرفعال تنها اطلاعاتی که جهت فرایند تشخیص نفوذ لازم است، برای کاربر فراهم میشود و سایر اعمال به عهده کاربر گذاشته میشود که چه تصمیمی بگیرد. از این روش بیشتر در سیستمهای اولیه تشخیص نفوذ استفاده میشده است. این عمل به صورت های مختلفی میتواند صورت بگیرد که دو روش از آنها عبارتند از:
۱- تولید هشدار
در این روش بعد از وقوع رخدادی هشداری تولید میشود. برای هشدار دادن و اخطار دادن میتوان از کارهای مختلفی استفاده کرد. برای مثال میتوان پیغامهایی بر روی صفحه نمایش ظاهر شود و یا آنکه زنگ هشدارهایی به صدا درآید.
۲- SNMP
بسیاری از سیستمهای تشخیص نفوذ به صورتی طراحی شده اند که در کنار نرم افزارهای شبکهای مورد استفاده قرار میگیرند. در این سیستم ها، سیستم تشخیص نفوذ میتواند از امکانات مدیریت شبکه بهره ببرد و هشدارهای لازم را ارسال و نشان دهد. یکی از این امکانات پروتکل SNMP است که میتواند مورد استفاده قرار گیرد.
۲-۲ شبکههای سیار
امروزه تمایل به استفاده از شبکههای سیار روز به روز در حال افزایش است. چون هر شخصی،هر جایی و در هر زمانی میتواند از آنها استفاده نماید. در سالهای اخیر رشد شگرفی در فروش کامپیوترهای قابل حمل بوجود آمده است. این کامپیوترهای کوچک، به چندین گیگابایت حافظه روی دیسک، نمایشگر رنگی با کیفیت بالا و کارتهای شبکه سیار مجهز هستند.علاوه بر این، این کامپیوترهای کوچک میتوانند چندین ساعت فقط با نیروی باتری کار کنند و کاربران آزادند به راحتی آنها را به هر طرف که میخواهند منتقل نمایند. زمانی که کاربران شروع به استفاده از کامپیوترهای متحرک نمودند، به اشتراک گذاشتن اطلاعات بین کامپیوترها، یک نیاز طبیعی را بوجود آورد. از جمله کاربردهای آن، به اشتراک گذاری اطلاعات در مکانهایی نظیر سالن کنفرانس، کلاس درس، ترمینالهای فرودگاه و همچنین در محیطهای نظامی است.
از نقطه نظر معماری، فراهم نمودن ارتباطات سیار از دو روش امکان پذیر است(شکل ۲-۱)؛روش اول استفاده ازشبکههای با زیرساختار [۴۸]و روش دوم استفاده از شبکههای بدون زیرساختار[۴۹] یا شبکههای موردی میباشد. مشخصه کلی در شبکههای سیار این است که این شبکهها به منظور انجام محاسبات، گرهها به یکدیگر، احتیاج دارند. شبکههای سیار مجوز ارتباطات با قابلیت انعطاف بیشتری را میدهند، تا جائیکه هیچ محدودیتی برای موقعیتهای فیزیکی ثابت در نظر گرفته نشده است.
شکل ۲-۱ )طبقه بندی شبکههای سیار
یک شبکه بدون زیرساخت یا شبکه موردی سیار، تنها شامل گرههای سیار است که بدون هیچ ایستگاه ثابت و اتصال سیمی برای مبادله اطلاعات و مدیریت شبکه به کار گرفته میشود. هر گره سیار تنها مانند یک میزبان عمل نمیکند، بلکه میتواند مانند یک مسیریاب هم عمل کند. گرهها خود مسئول به جلو راندن بستهها به سایر گرههای سیار موجود در شبکه میباشند[۵].
شبکههای با زیرساخت یا همان شبکههای سلولی، شامل ایستگاههای ثابت [۵۰] و نقاط انتهایی سیار هستند. ایستگاههای مبنا، ثابت هستند و به اتصالهای سیمی متصل شدهاند و مانند یک دروازه [۵۱] بین نقاط انتهایی سیار و اتصالهای سیستم عمل میکنند. یک نقطه انتهایی سیار در فضایی از محدوده مخابراتی بدون سیم، مستقیم توسط حداقل یک ایستگاه ثابت پوشش داده شده است. در این حالت ارتباطات مستقیم و یا به عبارتی تکگامی[۵۲] هستند و برای برقراری ارتباطات، هر گره با ایستگاه ثابت در همان سلول ارتباط برقرار میکند و مسیریابی، بین ایستگاههای ثابت انجام میشود و در پایان هم یک ایستگاه ثابت با گره مقصد، ارتباط برقرار میکند. بنابراین، ارتباطات سیار در شبکههای سلولی یک ارتباط تکگامی است. شکل۲-۱ یک شبکه سلولی و یک شبکه موردی سیار را نشان میدهد. در این شکلBS به معنی ایستگاه ثابت است. مسیر بین میزبانهای A و B ممکن است به صورت A-BS1-R1-R3-BS2-B باشد، در حالیکه مسیر بین میزبانهای انتهایی AوC عبارت است از . A-BS1-C
شکل ۲-۲) شبکه سلولی و شبکه موردی سیار
۲-۲-۱ شبکههای دارای زیرساخت
شبکههای با زیرساخت بر پایه دروازههای ثابت و سیمی بنا شدهاند. این شبکهها، شامل کلیه شبکههای معمول فعلی میباشند، از قبیل: UMTS[53]… ، ،GSM[54] ،[۵۵]WLAN
خصوصیات شبکههای با زیرساخت به صورت زیر است:
اتصالات سیار و تکگامی است و فضا به سلولهایی، تقسیم میشود.
یک ایستگاه ثابت مسئولیت برقراری ارتباط با میزبانهای سلول را دارد. به عبارت دیگر یک آنتن مسئول ارتباط با میزبانهای یک سلول خاص است.
میزبانهای سیار در حالیکه ارتباط برقرار است، میتوانند تغییر سلول دهند.
زمانیکه یک میزبان سیار از یک ایستگاه به ایستگاه دیگر نقل مکان میکند، اصطلاحاً گفته میشود عمل دست به دست[۵۶] رخ داده است.
۲-۲-۲ شبکههای بدون زیر ساخت
از آنجائیکه شبکه با زیرساخت باعث ایجاد محدودیتهایی در شبکههای سیار و سلولی معمولی خواهد شد، لذا شبکههای بدون زیرساخت میتواند ایدهی خوبی برای ادامه مخابرات سیار باشد. شبکههای موردی سیار، بدلیل عدم نیاز به زیرساختار، محدودیت شبکههای سیار را مرتفع خواهند کرد.
در شبکههای بدون زیرساخت مسیریابهای معین و ثابتی وجود ندارد. همهی گرهها توانایی حرکت دارند وگرهها خود به عنوان مسیریابها عمل میکنند و مسیرها را به گرههای دیگر وصل میکنند. حرکت گرهها در این شبکهها به صورت پویا میباشد، به همین دلیل همبندی کاملاً پویایی در این شبکهها وجود دارد. به دلیل وجود گرههای سیار، امکان کشف مسیر برای ارسال اطلاعات تنها با وجود پروتکلهای مسیریابی امکانپذیر است.
در ضمن این شبکهها از نوع سیستمهای چندگامی هستند لذا گاهی به آنها شبکههای موردی سیار چندگامی گفته میشود که در آن هر گره قادر به ارتباط مستقیم با گرههای دیگری که در محدوده انتقال او
قرار دارند، میباشد. برای ارتباط با گرههای خارج از محدوده نیز، باید از گرههای واسط جهت باز پخش پیامها استفاده کرد.
شکل ۲-۳) نمونهای از یک ارتباط چندگامی
در شبکههای موردی به دلیل محدودیتی که در توان انتقال گرهها وجود دارد، در اغلب موارد گره مقصد در محدودهی انتقالی گره مبدأ قرار نداشته و لذا گره مبدأ باید تعدادی از گرههای میانی را برای ارسال دادهها انتخاب کند و از طریق آنها بستههای داده را به سمت مقصد ارسال نماید[۲۲]. در شکل ۲-۴ در اطراف هر یک از گرهها دایرهای کشیده شده است که محدودهی توان انتقال گرهها را نشان میدهد.
شکل ۲-۴) محدوده توان انتقالی گرهها در شبکههای موردی
فرم در حال بارگذاری ...
|
[جمعه 1400-07-23] [ 04:32:00 ق.ظ ]
|
