نام پژوهشگر: علی ورشوی
علی ورشوی بابک صادقیان
ممانعت از سرویس (dos) و ممانعت از سرویس توزیع شده (ddos) تهدیدات اصلی به قابلیت دستیابی سرویس های اینترنتی هستند. امکان جعل آدرس منبع در لایه ip به همراه ساختار وسیع و توزیع شده اینترنت امکان پنهان سازی این حملات را فراهم کرده و تشخیص آنها را مشکل می کنند. یک حمله ddos سیل گونه می تواند در زمانی کوتاه تمامی منابع محاسباتی و ارتباطی سیستم هدف خود ا با استفاده از ترافیک مجاز شبکه مصرف کند. گوناگونی مکانیزم های حمله dos و دفاع در برابر آن به حدی است که در سال های اخیر چندین رده بندی در راستای مرتب سازی آنها ارایه شده است. در این تحقیق ما یک رده بندی بر اساس سناریو از حملات dos را پیشنهاد کرده ایم که منظور از سناریو درآن سلسله مراتب رویدادهای شبکه و مقادیر پارامترهای مرتبط در شناسایی یک حمله می باشد. هدف ازاین رده بندی ارایه یک درخت تصمیم به سیستم تشخیص نفوذ در جهت طبقه بندی دقیق حملات در حال انجام است رده بندی ما مفاهیم تشخیص سوء استفاده و ناهنجاری را در رویکردی جدید به هم پیوند می دهد. رویکرد پیشنهادی از آن جهت که هر رویداد حمله را در یک دسته و نه به عنوان یک الگوی خاص حمله طبقه بندی می کند. تعمیمی بر رویکرد تشخیص سوء استفاده می باشد. همچنین به دلیل آنکه دسته های مورد استفاده در این رویکرد در مقایسه با دو دسته نرمال و غیر نرمال توصیفی جزیی تر ارایه می دهند. با رویکرد تشخیص ناهنجاری متفاوت است. در این تحقیق بر پایه رده بندی پیشنهادی یک موتور تشخیص نفوذ که از سیستم فازی برای تشخیص حملات dos استفاده می کند. از سوی دیگر، سیستم های فازی مساله انتخاب صریح آستانه تشخیص را از طریق توابع عضویت فازی، ساده کرده و در نتیجه آن نرخ تولید هشدارهای غلط را کاهش می دهند. ما از رده بندی بر اساس سناریوی ارایه شده به عنوان راهنما در انتخاب پارامترهای مورد نیاز در تشخیص حملات مورد نظر، از میان 41 ویژگی مجموعه داده های kdd cup 99 استفاده کرده ایم در جهت ایجاد روال طبقه بندی برای هر دسته از رده بندی ارایه شده قواعد فازی به گونه ای که بیانگر شاخه منتهی به دسته مورد نظر باشند تولید شده اند آزمایش موتور فازی تشخیص نفوذ طراحی شده، نرخ تشخیص معادل 99/91./. و در حدود 1600 هشدار غلط را در بیش از 5 میلیون نشست مورد استفاده در آزمایش برای حملات dos سیل گونه، تنها با استفاده از تعداد اندکی ویژگی در مقایسه با دیگر سیستم های مشابه نشان می دهد به عنوان روشی دیگر ما از یک الگوریتم ژنتیک برای تولید قواعد فازی با استفاده از داده های آموزش استفاده کرده ایم. نتایج نرخ تشخیص 99/6./. را برای حملات بر پایه پروتکل های udp و icmp و 100./. برای حملات با پروتکل tcp نشان می دهند اما بهبود این روش به دلیل آنکه نرخ هشدارهای غلط برای حملات با پروتکل tcp بیش ا 40./. می باشد. نیازمند تحقیقات آتی است