تشخیص ناهنجاری در ترافیک شبکه
تشخیص ناهنجاری از روش های نظارت و تشخیص نفوذ در شبکه است و برای تامین امنیت و تشخیص حملات به آن استفاده میشود. حملات مختلفی در سیستمهای کامپیوتری از طریق شبکه رخ میدهد که بنابراین روش واحدی برای کشف همه آنها وجود ندارد. در این گزارش ضمن بررسی مبانی تئوری این بحث، به بررسی روشی برای تشخیص ناهنجاری در ترافیک شبکه بر اساس مشخصه های آماری آن پرداخته شده است. طبق تحقیقات انجام شده برای تشخیص ناهنجاری بطور عمومی چهار مرحله وجود دارد. مرحله اول مربوط به جمع آوری داده است. مرحله دوم شامل تحلیل داده و استخراج الگوهای رفتاری است. مرحله سوم استنتاج و مرحله چهارم ارزیابی نتایج و تشخیص ناهنجاری است.
۱-۱- مرحله اول: جمع آوری داده
در این مرحله میتوان داده مورد نیاز را به روشهای مختلف جمع آوری کرد. داده میتواند در سطح بسته (شامل اطلاعات سرآیند بسته و سایر متادیتاهای مربوط به آن) و یا بصورت تجمیع شده باشد. هر چه داده کاملتری جمعآوری شود امکان تحلیل دقیقتر فراهم میآید ولی با سربار بیشتری چه از نظر محاسباتی و چه از نظر ذخیره سازی همراه خواهد بود و معمولا به سخت افزاری اختصاصی نیاز دارد. اما روشهای تجمیع شده سربار بسیار کمتری دارند و به همین دلیل بیشتر مورد استفاده قرار میگیرند. یک نمونه از پروتکلهایی که اطلاعات در سطح بسته را تحلیل کرده و گزارش ارایه میکند NetFlow میباشد و یک نمونه از پروتکلهایی که اطلاعات بصورت تجمیع شده فراهم میکند SNMP است که نمونه گزارش این دو در شکل زیر نشان داده شده است:
-
- نمونه گزارش ارایه شده توسط پروتکل NetFlow
-
- نمونه گزارش ارایه شده توسط نرم افزارهای مانیتورینگ SNMP
> برای مشاهده سایر مراحل میتوانید متن کامل گزارش را دانلود نمایید.
فرآیند کلی انجام کار در تصویر زیر نمایش داده شده است:
در این گزارش نشان داده شد که با استفاده از مدلسازی آماری میتوان به ابزار مناسبی برای تحلیل ترافیک و تشخیص حملات و ناهنجاریها در آن پرداخت که میتوانند ضمن به حداقل رساندن دخالت کاربر، شاخص خوبی برای مانیتورینگ رفتار شبکه ارایه دهند. ابعاد این تحقیق بسیار گسترده بود و سعی شد تا حد ممکن جوانب مختلف آن از منابع مرتبط پوشش داده شود. همچنین سعی شد بخشهای مختلف گزارش از جمله فرآیند مدلسازی و تشخیص در نرمافزار مطلب پیاده سازی شود.