• • • • 1. 1. دیوار آتش

         

         

     

     

دیوار آتش، از اجزای لاینفک شبکه‌های کامپیوتری می باشد که از دستیابی غیر مجاز به شبکه‌ جلوگیری می‌کنند. این سیستم امنیتی معمولاً ترکیبی از سخت‌افزار و نرم‌افزار است و با توجه به حساسیت اطلاعات هر سازمان دارای پیکربندی و قدرت متفاوتی می باشند. هر چند دیوار آتش بخش مهمی از سیستم امنیتی شبکه را تشکیل می دهد لیکن قادر به شناسایی و محدود کردن حملاتی بیرونی هستند. مدیران امنیتی سیستم به خوبی می دانند که بیشتر حملات از درون شبکه راه اندازی می شوند[۵]. در نتیجه نیاز به وجود سیستم های شناسایی و پیشگیری نفوذ برای مدیران امنیتی سیستم یک امر مسلم است.

• • 1. 1. چالش­های مسئله

     

     

با پیشرفت تکنولوژی شبکه های کامپیوتری، افراد به راحتی به پهنای باند بالا جهت تبادل اطلاعات دسترسی دارند. بدون هیچ نگرانی در رابطه با پهنای باند، هر روز سرویس ها و خدمات متفاوتی به کاربران ارائه می شود. همین مسئله منجر به تولید حجم بسیار بالای ترافیک شبکه شده است که روش های مدیریت و نظارت ترافیک شبکه را دچار اشکال کرده است. به عنوان مثال، در یک شبکه دانشگاهی به طور میانگین ترافیکی حدود صدها مگا بایت -و در اوج شلوغی شبکه حتی تا چندین گیگا بایت- انتقال می یابد[۱]. در نتیجه نیاز به روش های جدیدی است که قادر به مدیریت و نظارت بر این حجم بالای اطلاعات باشند. از سویی دیگر رشد انفجاری تعداد حملات و تنوع آنها یکی دیگر از مسائلی است که روش های متداول را دچار مشکل می سازد. دلیل این رشد منافع اقتصادی روزافزون حملات می باشد. به عنوان مثال می توان به هرزنامه^[۱۳] اشاره کرد. بر اساس ادعای کارشناسان حدود ۹۰% از پیام های منتشر شده در سرتاسر جهان هرزنامه می باشد. به عنوان هرزنامه ها به شکل تبلیغات اغوا کننده و یا نامه های رسمی به دنبال جمع آوری اطلاعات شخصی کاربران مانند اطلاعات بانکی آنها می باشند[۲]. زمانی که به دنبال یافتن نفوذگران در شبکه هستیم، ترکیب دو پدیده ذکر شده –حجم بسیار بالای ترافیک شبکه و تعداد بالا و تنوع زیاد حملات- سبب می شود تا روش های شناسایی متداول با اشکالانی مواجه شوند. این مسئله منجر به بوجود آمدن روش های شده که به جای بررسی محتوای بسته در شبکه، تمرکز خود را بر روی بررسی الگوی ارتباطات در شبکه متمرکز کنند [۳و۴و۵].
جهت استخراج و بررسی الگوی ارتباطی در شبکه نیاز به بررسی داده های جریان^[۱۴] در شبکه می باشد. جریان عبارت است از تعدادی بسته که دارای منبع و مقصد مشترک می باشند. این جریان نشان دهنده ارتباط میان دو میزبان نهایی می باشد. روش های مبتنی بر جریان شبکه با بهره گرفتن از این جریانات قادرند جریان های مشکوک را در شبکه شناسایی کنند. بدیهی است که این روش تاثیر به سزایی در کاهش حجم داده ای که نیاز به نظارت و تحلیل دارد، ایفا می کند. همان طور که می­دانیم بسیاری از روش­های تشخیص نفوذ مانند روش های مبتنی بر محتوا، قادر نیستند تنها با داشتن این اطلاعات ساده کار کنند و نیاز به ویژگی­های متعددی در مورد ارتباطات کاربر در شبکه دارند. همچنین با توجه به سرعت و حجم بالای اطلاعات شبکه، اعمال این روش ها برای نظارت و بررسی تمامی بسته های شبکه امکان پذیر نمی باشد. در نتیجه می توان روش های شناسایی مبتنی بر جریان شبکه را رویکردی مناسب نسبت به روش های مبتنی بر محتوا دانست.
یکی از چالش های موجود در زمینه توسعه تکنیک های شناسایی نفوذ، عدم وجود مجموعه داده مناسب جهت توسعه، ارزیابی و مقایسه تکنیک های شناسایی نفوذ می باشد. مجموعه داده مناسب می بایست دارای شرایط زیر باشد:

• • واقعی باشد: این مسئله در مورد داده های مرتبط با روش های مبتنی بر جریان شبکه بیشتر نمود پیدا می کند. چرا که نشر اطلاعات ترافیک شبکه که حاوی آدرس های مبدا و مقصد باشد با قوانین حفظ حریم^[۱۵] کاربران و امنیت شبکه در تضاد می باشد. به عنوان مثال داده ای که از جریان ترافیک یک شبکه واقعی جمع آوری شده –مانند یک سرویس دهنده اینترنت- را به دلیل اینکه دارای اطلاعات مرتبط با کاربران شبکه می باشد، را به ندرت در اختیار عموم قرار می دهند. تکنیک های گمنام سازی آدرس ها نیز به دلیل به کار بردن روش مهندسی معکوس ممکن است ناکارآمد باشند. از این رو بیشتر گرایش به داده های مصنوعی و شبیه سازی شده می باشد.

• • دارای برچسب باشد: تمامی رکوردهای موجود در این مجموعه داده می بایست دارای برچسب نرمال و یا مشکوک باشد. برچسب زدن جریان های شبکه، به ویژه در مورد داده هایی با حجم بالا کاری بسیار زمان بر است .

• • دارای حملات متداول باشد: مجموعه داده می بایست دارای جریانات مرتبط با حملات متداول باشد. با توجه به سرعت رشد و تحول تکنیک های حملات، مجموعه داده ها به سرعت قدیمی می شوند. در نتیجه مجموعه داده های موجود دارای حملات جدید نمی باشند و ممکن است در محیط های واقعی ناکارآمد باشند.

• • دسترسی عمومی: بیشتر محققان از داده هایی استفاده می کنند که اختصاصی است و در دسترس عموم نمی باشد. به عنوان مثال از ترافیک شبکه دانشگاه و یا یک مرکز تحقیقات جمع آوری شده است. بدیهی است که این نمونه داده به دلایل امنیتی و حفظ حریم کاربران در دسترس عموم قرار نمی گیرد.

یکی از مجموعه داده های معتبر که در زمینه تشخیص نفوذ استفاده می شود، مجموعه داده DARPA می باشد. از این رو به محققان توصیه می شود که استفاده از این مجموعه داده را کنار گذارند.

• • 1. 1. نگاهی به فصول پایان نامه

     

     

در این پایان نامه سعی شده است تا با بهره گرفتن از مفاهیم مرتبط با تحلیل شبکه های اجتماعی، روشی کارآمد برای شناسایی نفوذگران در شبکه پیشنهاد شود. در روش پیشنهادی، با یاری گرفتن از یک سری معیارهای شباهت، میزان شباهت افراد در شبکه می شود. پس از آن افرادی که دارای کمترین میزان شباهت با افراد موجود در اجتماع خود می باشند را به عنوان نفوذگر شناسایی می شوند.
مطالب مربوط به این پایان نامه در پنج فصل آورده شده است که حاوی مطالب زیر می‌باشد.
فصل دوم. در این فصل اصول اولیه و مبانی نظری تحقیق مورد بررسی قرار خواهند گرفت.
فصل سوم. در این فصل روش های پیشین را بیان نموده و به بررسی مزایا و معایب هر یک خواهیم پرداخت.
فصل چهارم. در این فصل ابتدا به بررسی روش شبیه سازی شبکه و بررسی عوامل تاثیر گذار بر آن می پردازیم. سپس به شرح و توضیح روش پیشنهادی ما برای یافتن نفوذگران در شبکه خواهیم پرداخت.
فصل پنجم. آزمایشات انجام شده و نتایج به دست آمده از ارزیابی این پروژه در این فصل ارائه خواهند شد.
فصل ششم. در این فصل به بیان نتیجه گیری و ارائه کارهای آینده خواهیم پرداخت.
فصل دوم

1. مبانی نظری تحقیق