بخشی از مقاله
خلاصه
کاربران شبکه جهانی اینترنت به طور پیوسته و با سرعت بالایی رو به افزایش هستند، و هر روز شاهد ورود برنامههای کاربردی جدید و متنوع به ترافیک اینترنت هستیم. بازیهای بر خط، به اشتراک گذاری فایلها، ویدئو کنفرانسها و مکالمات بر روی شبکه IP به مرور سهم بیشتری از ظرفیت خطوط ارتباطی شبکه اینترنت را به خود اختصاص میدهند. همچنین انواع ترافیکهای مخرب و تهدیدات امنیتی در فضای سایبری رو به افزایش است، که امنیت کاربران را به خطر میاندازد. تقاضای رو به رشد برای استفاده از پهنای باند بیشتر از یک سو و محدودیت ظرفیت فیزیکی، و خطوط ارتباطی شبکه از سوی دیگر، سرویس دهندگان اینترنت را بر آن میدارد تا در پی یافتن راهکارهایی جهت بهبود کیفیت بهره برداری کاربران از منابع شبکه باشند.
یکی از این راهکارها، تخصیص پهنای باند مشخص به هر یک از برنامهها و سرویس های موجود در شبکه و اولویتدهی به آنها در استفاده از ظرفیت خطوط ارتباطی و منابع پردازشی تجهیزات شبکه است. بنابراین گام نخست، شناسایی و دستهبندی ترافیک برنامهها و سرویسهای موجود در شبکه می باشد. همچنین با توجه به افزایش بدافزارها و تلاش آنها برای پنهان سازی ترافیک، خود به منظور گریز از سیستمهای تشخیص نفوذ و دور زدن دیوارهای آتش، دستهبندی ترافیک به عنوان یک گام اولیه در تشخیص نفوذ و تأمین امنیت شبکه در مقابل تهدیدات سایبری دارای اهمیت بسزایی است. به طور خلاصه میتوان دستهبندی ترافیک را مقدمهای لازم برای بسیاری از وظایف امنیتی، مدیریتی و کنترلی در شبکه دانست. میتوان در حالت کلی هدف از تحلیل ترافیک شبکه را در دو علت خلاصه کرد.
کلمات کلیدی: سیستم عامل همراه، ترافیک، رمزگذاری اندروید، تجزیه و تحلیل.
.1 مقدمه
از آنجایی که امروزه بسیاری از نرم افزارهای شبکه به منظور انتقال داده از رمزنگاری استفاده میکنند، روشهای سنتی شناسایی ترافیک همانند روشهای مبتنی بر پورت و روشهای مبتنی بر محتوا پاسخگو نمیباشند. بدین جهت برای آنالیز ترافیک رمز شده بایستی رویکردی متفاوت داشته باشیم، که بتواند جزییات ترافیک را تا حد امکان و قابل قبول استخراج کند. علاوه بر این، بهتر است که این روشها بتوانند به صورت اتوماتیک این کار را انجام دهند. در سالهای اخیر روشهای یادگیری ماشین بصورت بسیار گستردهای جهت تحلیل و آنالیز ترافیک رمز شده شبکه مورد استفاده قرار گرفتهاند. بعلاوه دقت این نوع روشها در دامنه محدود خودشان بسیار رضایت بخش و عالی بوده است.
بنابر انچه که در خلاصه بیان گردید، در این تحقیق می خواهیم گروهی از نرم افزارهای بسیار کاربردی را انتخاب، و ترافیک رمز شده آنها را تحلیل کنیم، و ببینیم تا چه حدی اطلاعات، میتوانیم از ترافیک رمز شده سیستم عاملهای همراه یا اندرویدی استخراج نماییم. با اینکه که نرم افزارهای پیام رسان مبتنی بر اندروید در ایران بسیار مورد توجه قرار گرفتهاند، برآنیم تا گروهی از آنها را جهت انجام این پژوهش انتخاب کرده و سپس به استخراج فعالیت انجام شده توسط کاربران بپردازیم.
.2 مروری بر سیستم
کاربران شبکه جهانی اینترنت به طور پیوسته رو به افزایش هستند و هر روز شاهد ورود برنامههای کاربردی جدید و متنوع به ترافیک اینترنت هستیم. بازی های برخط، اشتراک گذاری فایل، ویدئو کنفرانسها و مکالمات بر روی شبکه IP به مرور سهم بیشتری از ظرفیت خطوط ارتباطی شبکه اینترنت را به خود اختصاص میدهند. همچنین انواع ترافیکهای مخرب و تهدیدات امنیتی در فضای سایبری رو به افزایش است که امنیت کاربران را به خطر میاندازد .[1] تقاضای رو به رشد برای استفاده از پهنای باند بیشتر از یک سو و محدودیت ظرفیت فیزیکی خطوط ارتباطی شبکه از سوی دیگر، سرویس دهندگان اینترنت را بر آن میدارد تا در پی یافتن راهکارهایی جهت بهبود کیفیت بهره برداری کاربران از منابع شبکه باشند.
یکی از این راهکارها، تخصیص پهنای باند مشخص به هر یک از برنامهها و سرویسهای موجود در شبکه و اولویتدهی به آنها در استفاده از ظرفیت خطوط ارتباطی و منابع پردازشی تجهیزات شبکه است. [2] گام نخست شناسایی و دستهبندی ترافیک برنامهها و سرویس های موجود در شبکه است. همچنین با توجه به افزایش بدافزارها و تلاش آنها برای پنهان سازی ترافیک خود به منظور گریز از سیستمهای تشخیص نفوذ و دور زدن دیوارهای آتش، دستهبندی ترافیک به عنوان یک گام اولیه در تشخیص نفوذ و تأمین امنیت شبکه در مقابل تهدیدات سایبری دارای اهمیت است [3] به طور خلاصه میتوان دستهبندی ترافیک را مقدمهای لازم برای بسیاری از وظایف امنیتی، مدیریتی و کنترلی در شبکه دانست. میتوان در حالت کلی هدف از تحلیل ترافیک شبکه را در دو علت خلاصه کرد:
- 1 مدیریت شبکه:* سهم بزرگی از اکوسیستم امروز اینترنت از موفقیت و نفوذ برنامههای محبوب تلفن همراه که انواع مختلف دادهای نظیر ویدئو و جریانهای صوتی، شبکههای اجتماعی، و حتی بازی را در بردارند شکل می گیرد. خدمات چند رسانهای مرتبط با شبکههای اجتماعی مانند یوتیوب، فیس بوک، و Telegram بخشی از خدمات بسیار محبوب هستند، که میتوانند توسط برنامههای تلفن همراه در شبکههای تلفن همراه قابل دسترسی باشند. یوتیوب که بدون شک معروفترین نرم افزار به اشتراک گذاری ویدئو در جهان است، بیش از نیمی از ترافیک در شبکههای سلولی موبایل را شامل میشوند.
شبکههای اجتماعی آنلاین مانند فیس بوک و برنامههای پیام رسان اجتماعی مانند Telegram نیز در حال تبدیل شدن به یک معزل رو به رشد برای ISP ها هستند بطوری که نرخ در حال رشد آنها از نظر تعدادکاربران روزمره به رکورد یک و نیم میلیارد کاربر برای فیس بوک و تقریبا دو میلیارد برای Telegram تا نوامبر 2016 رسیده است .[4] تحت چنین شرایطی، تجزیه و تحلیل ترافیک شبکه به یک امر بدیهی برای ISPها تبدیل شده است تا بتوانند مدیریت پهنای باند و منابع بهتری داشته باشند.
- 2 امنیت شبکه: با وجود نرم افزارهای قدرتمند آنتی ویروس، فایروال و غیره همچنان شبکههای کامپیوتری و اطلاعات مهم و گرانقیمت شرکتها، دولتها و اشخاص در معرض حملات سایبری هستند. فرض کنید که یک هکر نام کاربری و رمز عبور یک کاربر شبکه را بداند و به شبکه کامپیوتری نفوذ کند. حال برای تمامی نرم افزار های قدرتمند آنتی ویروس و فایروال عملا غیر ممکن است که بتوانند عمل خرابکارانهای را کشف کرده و با آن مقابله کنند .[5] این دقیقا زمانی است که نیاز به نرم افزارهای حرفهای و قدرتمند تشخیص نفوذ بیش از پیش احساس میشود تا بتوانند رفتار به اصطلاح غیرعادی را شناسایی نمایند.
برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آنها پیدا کرد. رفتارهایی که از این الگوها پیروی میکنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده میشود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع می پیوندد، غیرعادی فرض میشود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، 30 بار این کار را انجام دهد، و یا کامپیوتری که در ساعت 00:3 بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد.
[6] از آنجایی که امروزه بسیاری از نرم افزارهای شبکه به منظور انتقال داده از رمزنگاری استفاده میکنند، روشهای سنتی شناسایی ترافیک همانند روشهای مبتنی بر پورت و روشهای مبتنی بر محتوا پاسخگو نمیباشند. بدین جهت برای آنالیز ترافیک رمز شده بایستی رویکردی متفاوت داشته باشیم که بتواند تا جزییات ترافیک را تا حد امکان استخراج کند. علاوه بر این بهتر است که این روشها بتوانند به صورت اتوماتیک این کار را انجام دهند. در سال های اخیر روش های یادگیری ماشین بصورت بسیار گستردهای جهت تحلیل و آنالیز ترافیک رمز شده شبکه مورد استفاده قرار گرفتهاند. بعلاوه دقت این نوع روشها در دامنه محدود خودشان بسیار رضایت بخش و عالی بوده است.
.3 روش پیشنهادی
تجزیه و تحلیل ترافیک شبکه به روند توقف و بررسی پیامهای تبادلی در شبکه به منظور استنتاج اطلاعات از الگوهای در ارتباط اطلاق میشود. میتوان تجزیه و تحلیل ترافیک شبکه را حتی زمانی که پیامها رمزگذاری شده هستند و نمیتواند رمزگشایی شوند انجام داد. به طور کلی، هرچه تعداد پیام مشاهده شده، و یا حتی قطع و ذخیره شده، بیشتر باشد میتوان ااطلاعات بیشتری از ترافیک شبکه استخراج کرد. تجزیه و تحلیل ترافیک را میتوان در زمینه اطلاعات نظامی، ضد اطلاعات، و یا الگوی زندگی، و امنیت کامپیوتر انجام داد. همانطور که اشاره شد هدف تجزیه و تحلیل ترافیک شبکه مدیریت شبکه و امنیت شبکه میباشد .
اما ترافیک رمز شده که امروزه جهت افزایش امنیت و حریم خصوصی کاربران در نرم افزارهای مختلف استفاده میشود، باعث عدم توفیق روشهای سنتی مبتنی بر پورت و پروتکل جهت مانیتور نرم افزار ها و رفتار کاربران میشود. از این رو روشهای یادگیری ماشین بطور فزایندهای مورد استفاده قرار گرفتهاند تا بتوانند ترافیک رمز شده را تجزیه و تحلیل کنند. این رویکرد با موفقیت چشمگیری رو به رو شده است هر چند که دامنه استفاده آنها محدود به مسائل خاص بوده و نمیتوانند برای تمامی ترافیکهای رمز شده روش کلی ارائه دهند.
