طراحی سیستم مقابله با حملات رمزگذاری شده در شبکه

سیستم های تشخیص نفوذ مبتنی بر شبکه، ترافیک شبکه را برای پیدا کردن علایم فعالیت های بدخواهانه ای که پتانسیل مختل کردن کل زیرساخت های شبکه و سرویس ها را دارند، مورد نظارت قرار می دهند. سیستم های تشخیص نفوذ، تنها زمانی می توانند کار خود را انجام دهند که ترافیک شبکه در دسترس بوده و قابل استخراج برای تحلیل و بررسی باشد. با این حال، با افزایش روز افزون استفاده از پروتکل های رمزگذاری که ترافیک شبکه را رمزنگاری نموده و پنهان می سازند؛ یک سیستم تشخیص نفوذ مرسوم و عادی توانایی دسترسی به ترافیک شبکه برای تحلیل و بررسی، نخواهد داشت. هدف این پایان نامه برطرف کردن این مشکل با استفاده از یک راهکار تشخیص نفوذ مبتنی بر جریان است تا بتواند به عنوان مکملی برای سیستم های مبتنی بر پی آیند، مورد استفاده قرار گیرد. یکی از ویژگی های راهکار ارائه شده، این است که محرمانگی ایجاد شده توسط پروتکل های امنیتی را به خطر نمیاندازد. این راهکار یک سیستم تشخیص مبتنی برناهنجاری است که با استفاده از الگوریتم یادگیری ماشین c4.5، داده های جریان استخراج شده از ترافیک شبکه را مورد تحلیل قرار می دهد. برای استخراج جریان ها و محاسبه ی مقدار ویژگی های آن، از ابزار netmate استفاده می شود. سپس الگوریتم تصمیم گیری c4.5 بر روی این داده ها اعمال می شود تا مدل کلاس بندی کننده ایجاد شود. برای انجام این کار از نرم افزار وِکا که یک ابزار متن باز برای انجام امور داده کاوی است، استفاده می شود. با توجه به ارزیابی انجام شده بر روی مجموعه داده ی دارپا 99، نرخ تشخیص بدست آمده برای حملات موجود در آن 98% و نرخ هشدار مثبت کاذب 03/0% است. راهکار ارائه شده با بررسی های اولیه در شرایطی که بررسی مبتنی بر بسته ممکن نیست، می تواند به عنوان مکمل روش های مبتنی بر بسته مورد استفاده قرار گیرد. همانطور که گفته شد این روش می تواند حملات را با نرخ تشخیص بالا و نرخ هشدار مثبت کاذب پایین، شناسایی کند.