بی شک با توجه به گسترش فراگیر تکنولوژی و رویکرد متنوع در استفاده از شبکه های کامپیوتری، بحث امنیت اطلاعات و تشخیص بموقع و درست حملات و نفوذها در آن از اهمیت روزافزونی برخوردار است.

1-1- تقسیم بندی سیستم های تشخیص نفوذ

 عموماً تکنیکهای تشخیص به لحاظ ماهیت به دو گروه تقسیم می شوند: تشخیص سوء استفاده و تشخیص رفتار غیرعادی.

در روشهای مبتنی برتشخیص سوء استفاده، حملات در صورتی قابل شناسایی اند که بتوان اثرات آنها را با تحلیل رفتارهای ترافیک شبکه مشخص نمود. به عبارت دیگر، براساس مجموعه ای از الگوهای نفوذ و نیز تطابق رفتار مشاهده شده با یکی از مدل ها، امکان تشخیص نفوذ فراهم می گردد. اشکال عمده ی این روش در تشخیص حملات ناشناخته ای است که تاکنون الگویی برای آنها وجود نداشته و بنابراین با این سیستم قابل شناسایی نمی باشند. برای جبران این محدودیت، روش دیگری براساس تشخیص رفتارهای غیرعادی مطرح شد. در 

خرید متن کامل این پایان نامه در سایت nefo.ir

  این رویکرد که برای نخستین بار در پژوهش دنینگ [1] مطرح شد، اساس سیستم تشخیص نفوذ مبتنی بر رفتارعادی سیستم بنا گذارده می شود. در نتیجه اکثر تکنیکهای تشخیص رفتار غیرعادی، همواره در تلاش برای ایجاد پروفایل های عملکرد نرمال با محاسبه و ارزیابی معیارهای گوناگون بوده اند. براین اساس یک حمله زمانی تشخیص داده می شود که رفتار سیستم در آن لحظه، از این پروفایل نرمال تخطی کند.

از سوی دیگر، سیستم های تشخیص نفوذ را از نظر منبع مورد بررسی میتوان در دو گروه دسته بندی نمود[3]: تشخیص نفوذ براساس مدل میزبان و تشخیص نفوذ براساس ترافیک شبکه.

1-2- تعریف پروژه

 در این پژوهش، هر دو روش تشخیص سوء استفاده و تشخیص رفتار غیرعادی را در قالب دو راهکار مختلف مورد بررسی قرار می گیرد. در این راستا، از دو نوع داده، شامل مجموعه های  DARPA1999 و KDD1999 استفاده شده است مجموعه داده DARPA1999 شامل پنج هفته ترافیک یک شبکه  شبیه سازی شده، درقالب فایل های TCPDUMP می باشد که هفته اول و سوم، ترافیک نرمال و هفته دوم، چهارم و پنجم، حملات را نیز دربرمی گیرد. بعلاوه، بررسی ها نشان می دهد در بسیاری از پژوهش های پیشین،  سیستم های تشخیص نفوذ از داده های جریان شبکه (مثل net flow، sflow و ipfix) استفاده می کنند. اما در این پژوهش، طی یک پروسه پیش پردازش، از فایل های TCPDUMP، گزارش جریان گرفته شده و براساس برخی ویژگی های این گزارشات، سیستم تشخیص فرموله سازی می گردد.

بعلاوه، پیش از این در مجموعه داده های تشخیص نفوذ 1999 KDD CUP [4]، لی و همکاران، داده های نفوذ[1] را در قالب سه دسته از ویژگی ها مشخصه سازی کرده اند: ویژگی های اولیه[2]، ویژگی های محتوا[3] و ویژگی های ترافیک[4] [5]  آنها سپس ارتباطات شبکه را با استفاده از 41 ویژگی، توصیف کردند. البته این رویکرد، حملات را تا حد ممکن پوشش می دهد. ولی بررسی بسته های شبکه با حجم بالایی از ویژگی ها، تشخیص نفوذهای آنلاین را تقریباً غیرممکن می سازد. درواقع، هدف انتخاب ویژگی ها، دستیابی به توصیف کامل همه ی فعالیت های مخرب شبکه نیست. بلکه مقصود آن، تبیین تعداد محدودی از نشانه هایی است که با آن می توان یک تشخیص موثر و کارا انجام داد.