ارائه یک روش ترکیبی مبتنی بر ویژگی های آماری و تحلیل محتوای بسته برای شناسایی پروتکل های تونلینگ مطرح در شبکه

امروزه شبکه های رایانه ای به عنوان ابزار سریع انتقال اطلاعات به شکل گسترده ای توسط افراد و سازمان های مختلف مورد استفاده قرار می گیرد. برای تأمین امنیت کاربران و سازمان ها، روش های امنیتی مختلفی بکار گرفته می شود که هر کدام سطحی از امنیت را فراهم می آورند. از جمله این روش ها می توان به استفاده از پروتکل های تونلینگ و شبکه های خصوصی مجازی اشاره کرد. اگر چه این روش ها می توانند برای ارتقاء امنیت در شبکه های عمومی سرویس مفیدی محسوب شوند، اما به موازات آن می توانند به عنوان ابزاری برای سوء استفاده نیز مورد استفاده قرار گیرند. پروتکل های تونلینگ به سادگی می توانند سیاست های امنیتی یک سازمان را نقض کنند. در این ارتباط، می توان به چالش های امنیتی استفاده از پروتکل های تونلینگ در شبکه، مستند شده در rfc 6169 ، اشاره نمود. از این رو، شناسایی پروتکل های تونلینگ در بسیاری از شبکه ها می تواند هم از نظر بحث مدیریت ترافیک و کیفیت سرویس و هم از نظر کشف وجود تونل در استفاده های غیر مجاز از اهمیت زیادی برخوردار باشد. در ادبیات موضوع، روش های مبتنی بر محتوا و روش های مبتنی بر ویژگی های آماری دو روش اصلی در شناسایی ترافیک هستند. به دلیل مزایا و معایب تقریباً مکمل گونه این دو رویکرد، سیستم شناسایی ترافیک ترکیبی (بکارگیری توامان هر دو روش) می تواند از مزایای هر دو استفاده و به نتایج بهتری دست پیدا کند. در این پایان نامه، پس از ارائه یک طبقه بندی جامع از روش های موجود در شناسایی ترافیک و بررسی مزایا و معایب هرکدام، یک روش ترکیبی و نیمه نظارتی برای شناسایی ترافیک تونلینگ پیشنهاد می گردد. روش پیشنهادی، یک روش ترکیبی مبتنی بر محتوا و ویژگی های آماری ترافیک برای شناسایی چهار پروتکل تونلینگ مطرح شامل l2tp pptp, ipsec, و openvpn می باشد. برای ساخت روش پیشنهادی مبتنی بر محتوا، مکانیزم ارتباطی این پروتکل ها بطور دقیق و جامع مورد تحلیل و بررسی قرار می گیرد تا هیوریستیک های مناسبی با هزینه محاسباتی کم برای تحلیل محتوای بسته ها بدست آید. از طرف دیگر ماشین شناسایی ترافیک بر اساس ویژگی های آماری نیز مورد استفاده قرار می گیرد. روند شناسایی در روش مبتنی بر ویژگی های آماری، توسط بازخورد روش مبتنی بر محتوا پالایش و تصحیح می گردد. نتایج بدست آمده از ارزیابی های انجام گرفته، نشان دهنده کارایی مناسب روش پیشنهادی برای شناسایی ترافیک های مورد نظر می باشد.