نام پژوهشگر: فرشید میری دوچقایی

ارائه یک روش همبسته سازی هشدارها به منظور تشخیص حملات کند
thesis وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی خواجه نصیرالدین طوسی - دانشکده صنایع 1392
  فرشید میری دوچقایی   شهریار محمدی

. سیستم های تشخیص نفوذ با توجه با ماهیتشان هشدارهای زیادی تولید می نمایند به گونه ای که حجم هشدارهای تولید شده توسط آنها به قدر زیاد می باشد که مدیریت آن ها توسط عامل انسانی تقریبا غیر ممکن است. علاوه بر اینکه حجم این هشدارها زیاد می باشد مشکلات دیگری نیز وجود دارد که می توان به عدم اولویت بندی هشدارها، وجود هشدارهای اشتباه و مواردی از این قبیل اشاره نمود. همچنین مشکل مهم دیگری که این سیستم ها دارا می باشند عدم توانایی در برقراری ارتباط بین هشدارهای سطح پایین می باشد. راه حل مشکلات ذکر شده همبسته سازی هشدارها می باشد. هدف از همبسته سازی هشدارها حذف هشدارهای اشتباه، اولویت دادن به هشدارها و ساخت هشدارهای سطح بالا با ترکیب نمودن هشدارهای سطح پایین می باشد که این کار باعث کاهش حجم هشدارها می گردد و مدیریت هشدارها را ساده تر می نماید. سیستم های تشخیص نفوذ با تمام این توانایی ها امروزه در تشخیص برخی از حملات هنوز دارای نقاط ضعفی می باشند. یکی از این حملات، حملات آهسته می باشد. حمله آهسته حمله ای که نفوذگر در آن حمله خود را به چندین گام می شکند و سپس هر گام را به صورت مجزا و در زمانی مجزا اجرا می نماید. هدف حمله کننده از انجام این کار این است که سیتسم های تشخیص نفوذ، با توجه به فاصله بین گام ها، نفوذ را تشخیص ندهند. در این تحقیق ما قصد داریم که راه حلی برای همبسته سازی حملات آهسته ارائه نماییم که مشکلات روش های قبلی را که اصلی ترین مشکل آن ها تشخیص حملات با گام های آهسته می باشد تا حدودی رفع نماید. روش های قبلی نقاط ضعف دیگری نیز دارند. که می توان به توانایی کارکرد در شرایط جدید، نیاز به دانش پیشین و مورادی از این قبیل اشاره نمود. حملات چندگامی حملاتی می باشند که معمولا از چهار گام 1- تحقیق یا کاوش ، 2- پویش ، 3- نفوذ ، و 4- هدف یا نتیجه تشکیل گردیده اند. لزوما تمام این مراحل اتفاق نمی افتد. به عنوان مثال یک نفوذگر ممکن است که خود عضو سازمانی باشد که قصد نفوذ به آن را دارد و دیگر نیازی به تحقیق و کاوش یعنی مرحله اول و قسمت هایی از مرحله دوم نداشته باشد. همبسته سازی هشدارها و یافتن ارتباط بین این هشدارهای همبسته شده یکی از مشکلاتی است که سیستم های تشخیص نفوذ مدرن کنونی در آن دچار مشکل هستند. برای مقابله با یک حمله چندگامیی با گام های آهسته، پیشرفت آن باید در زمان بلادرنگ پیش بینی و مانیتور گردد. به همین منظور به محض اینکه هشدارها به سیستم وارد می گردند به منظور ساخت سناریوی حمله باید با یکدیگر همبسته گردند. چنین همبسته سازی کارایی از هشدارها نیاز به یک شاخص درون حافظه برای ساختهشدن بر روی هشدارهای دریافتی دارد. با این حال حافظه محدود بر این دلالت دارد که فقط تعداد محدودی از هشدارها درون یک پنجره لغزان می توانند برای همبسته سازی در نظر گرفته شوند. سیستم های تشخیص نفوذ به منظور این که بتوانند این نوع از حملات را تشخیص دهند از مکانیزم پنجره لغزان استفاده می نمایند. پنجره لغزان یک پنجره زمانی می باشد که طول آن معمولا بر حسب دقیقه بیان می گردد. در این پنجره بسته به طول پنجره آخرین هشدارهایی که سیستم تشخیص نفوذ تولید نموده است نگهداری می شوند. سیستم تشخیص نفوذ برای یافتن ارتباط بین هشدارها همبسته شده از این پنجره استفاده می نماید. این پنجره بنا به محدودیت های پردازشی نمی تواند خیلی بزرگ باشد. به همین دلیل این پنجره زمانی به یکی از نقاط آسیب پذیری سیستم های تشخیص نفوذ تبدیل گردیده است. زیرا نفوذگر می تواند گام های حمله خود را طوری تنظیم نماید که بزرگتر از طول این پنجره زمانی باشند و در نتیجه باعث می گردد که سیستم های تشخیص تفوذ قابلیت تشخیص چنین حملاتی را نداشته باشند. در این تحقیق قصد داریم که یک روش همبسته سازی هشدارها به منظور تشخیص حملات آهسته ارائه نماییم.