تشخیص ناهنجاری در ترافیک شبکه

تشخیص ناهنجاری از روش های نظارت و تشخیص نفوذ در شبکه است و برای تامین امنیت و تشخیص حملات به آن استفاده می­شود. حملات مختلفی در سیستم­های کامپیوتری از طریق شبکه رخ می­دهد که بنابراین روش واحدی برای کشف همه آنها وجود ندارد. در این گزارش ضمن بررسی مبانی تئوری این بحث، به بررسی روشی برای تشخیص ناهنجاری در ترافیک شبکه بر اساس مشخصه های آماری آن پرداخته شده است. طبق تحقیقات انجام شده برای تشخیص ناهنجاری بطور عمومی چهار مرحله وجود دارد. مرحله اول مربوط به جمع­ آوری داده است. مرحله دوم شامل تحلیل داده و استخراج الگوهای رفتاری است. مرحله سوم استنتاج و مرحله چهارم ارزیابی نتایج و تشخیص ناهنجاری است.

۱-۱-     مرحله اول: جمع آوری داده

در این مرحله می­توان داده مورد نیاز را به روش­های مختلف جمع آوری کرد. داده می­تواند در سطح بسته (شامل اطلاعات سرآیند بسته و سایر متادیتاهای مربوط به آن) و یا بصورت تجمیع شده باشد. هر چه داده کاملتری جمع­آوری شود امکان تحلیل دقیقتر فراهم می­آید ولی با سربار بیشتری چه از نظر محاسباتی و چه از نظر ذخیره سازی همراه خواهد بود و معمولا به سخت افزاری اختصاصی نیاز دارد. اما روش­های تجمیع شده سربار بسیار کمتری دارند و به همین دلیل بیشتر مورد استفاده قرار می­گیرند. یک نمونه از پروتکل­هایی که اطلاعات در سطح بسته را تحلیل کرده و گزارش ارایه می­کند NetFlow می­باشد و یک نمونه از پروتکل­هایی که اطلاعات بصورت تجمیع شده فراهم می­کند SNMP  است که نمونه گزارش این دو در شکل زیر نشان داده شده است:

برای مشاهده سایر مراحل میتوانید متن کامل گزارش را دانلود نمایید. 

فرآیند کلی انجام کار در تصویر زیر نمایش داده شده است:

 

process

در این گزارش نشان­ داده شد که با استفاده از مدل­سازی آماری می­توان به ابزار مناسبی برای تحلیل ترافیک و تشخیص حملات و ناهنجاری­ها در آن پرداخت که می­توانند ضمن به حداقل رساندن دخالت کاربر، شاخص خوبی برای مانیتورینگ رفتار شبکه ارایه دهند. ابعاد این تحقیق بسیار گسترده بود و سعی شد تا حد ممکن جوانب مختلف آن از منابع مرتبط پوشش داده شود. همچنین سعی شد بخش­های مختلف گزارش از جمله فرآیند مدل­سازی و تشخیص در نرم­افزار مطلب پیاده سازی شود.

دانلود متن کامل گزارش بصورت پی دی اف 

 

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *