بخشی از مقاله
چکیده
تحقیق پیشرو تلاشی برای ارئهی روشی مناسب در جهت طبقهبندی و شناسایی نوع حملات نفوذ در شبکه است. در این تحقیق ابتدا به کمک برخی پارامترهای شبکه، رخداد حمله بررسی شده و در صورت تشخیص حمله، نوع آن حمله تعیین میگردد. به این منظور روشی سه مرحلهای برای این امر ارائه شده است. در مرحله اول بوسیله خوشه بندی مجموعه دادهها را به چندین زیر مجموعه تقسیم کرده و برای هر یک شبکه عصبی مناسب آن آموزش داده میشود. در مرحله بعد خروجی هر یک از این شبکهها را برای تمامی اعضای مجموعه دادهها به دست آورده و در مرحله سوم از این مجموعه جدید برای آموزش یک شبکه عصبی نهایی استفاده شده است. روش پیشنهادی بر روی مجموعه دادهی استاندارد KDD بررسی شده و نتایج آن ارایه شده است.
-1 مقدمه
نفوذ در شبکههای کامپیوتری با اهداف متفاوتی صورت میگیرد. در اغلب حملات نفوذکنندگان سعی در ربودن و حذف اطلاعات و غیر قابل استفاده نمودن سیستم سرویس برای رسیدن به اهدف خود با انگیزههای سیاسی ،نظامیو مالی دارند و برای انجام آن به عملیات مختلفی از قبیل ربودن کد کاربردی ،کلمه عبور و اشتباه انداختن سیستم جهت صدور مجوزها ،پیدا کردن نقاط ضعف برنامههای کاربردی و غیره دست میزنند. پیچیدگی انواع حملات و نفوذهای بعدی با به دست آمدن سناریوی نفوذهای شناخته شده پیشین و ایجاد ابزارهایی جهت مقابله با آنها افزایش یافته است. در این میان برخی از حملات نظیر حملهی جلوگیری از سرویس وجود دارند که علیرغم شناخته شدن سناریوی نفوذ راه حل قطعی برای مقابله با آنها تاکنون ارائه نشده است.
-2 حملات انجام شده توسط افراد غیر معتمد - خارجی - : این معمولترین نوع حمله است که یک کاربر خارجی که مورد اعتماد نیست شبکه را مورد حمله قرار میدهد. این افراد معمولا سخت ترین راه را پیش رو دارند زیرا بیشتر سیاستهای امنیتی درباره این افراد تنظیم شده اند
-3 حملات انجام شده توسط هکرهای بی تجربه : بسیاری از ابزارهای حمله و نفوذ بر روی اینترنت وجود دارند. در واقع بسیاری از افراد میتوانند بدون تجربه خاصی و تنها با استفاده از ابزارهای آماده برای شبکه ایجاد مشکل کنند.
-4 حملات انجام شده توسط کاربران مجرب : هکرهای با تجربه و حرفه ای در نوشتن انواع کدهای خطرناک متبحرند. آنها از شبکه و پروتکلهای آن و همچنین از انواع سیستمهای عمل آگاهی کامل دارند. معمولا این افراد ابزارهایی تولید میکنند که توسط گروه اول به کار گرفته میشوند. آنها معمولا پیش از هر حمله، آگاهی کافی درباره قربانی خود کسب میکنند.
-1-1 انواع حملات شبکه با توجه به حمله کننده
حملات شبکه ای را میتوان با توجه به حمله کننده به چهار گروه تقسیم کرد : -1 حملات انجام شده توسط کاربر مورد اعتماد - داخلی - : این حمله یکی از مهمترین و خطرناکترین نوع حملات است، چون از یک طرف کاربر به منابع مختلف شبکه دسترسی دارد و از طرف دیگر سیاستهای امنیتی معمولا محدودیتهای کافی درباره این کاربران اعمال نمیکنند.
-2-1 پردازه تشخیص نفوذ
تا بحال با انواع حملات آشنا شدیم. حال باید چگونگی شناسایی حملات و جلوگیری از آنها را بشناسیم. امروزه دو روش اصلی برای تشخیص نفوذ به شبکهها مورد استفاده قرار میگیرد:
IDS -1 مبتنی بر خلاف قاعده آماری
IDS -2 مبتنی بر امضا یا تطبیق الگو
روش اول مبتنی بر تعیین آستانه انواع فعالیتها بر روی شبکه است، مثلا چند بار یک دستور مشخص توسط یک کاربر در یک تماس با یک میزبان - host - اجرا میشود.لذا در صورت بروز یک نفوذ امکان تشخیص آن به علت خلاف معمول بودن آن وجود دارد. اما بسیاری از حملات به گونه ای هستند که نمیتوان براحتی و با کمک این روش آنها را تشخیص داد.
در واقع روشی که در بیشتر سیستمهای موفق تشخیص نفوذ به کار گرفته میشود، IDS مبتنی بر امضا یا تطبیق الگو است.منظور از امضا مجموعه قواعدی است که یک حمله در حال انجام را تشخیص میدهد. دستگاهی که قرار است نفوذ را تشخیص دهد با مجموعه ای از قواعد بارگذاری میشود.هر امضا دارای اطلاعاتی است که نشان میدهد در دادههای در حال عبور باید به دنبال چه فعالیتهایی گشت. هرگاه ترافیک در حال عبور با الگوی موجود در امضا تطبیق کند، پیغام اخطار تولید میشود و مدیر شبکه را از وقوع یک نفوذ آگاه میکند. در بسیاری از موارد IDS علاوه بر آگاه کردن مدیر شبکه، اتصال با هکر را بازآغازی میکند و یا با کمک یک فایروال و انجام عملیات کنترل دسترسی با نفوذ بیشتر مقابله میکند. اما بهترین روش برای تشخیص نفوذ، استفاده از ترکیبی از دو روش فوق است.
-3-1 حملات از کار انداختن سرویس
در این نوع حملات ، هکر استفاده از سرویس ارائه شده توسط ارائه کننده خدمات برای کاربرانش را مختل می کند. در این حملات حجم بالایی از درخواست ارائه خدمات به سرور فرستاده می شود تا امکان خدمات رسانی را از آن بگیرد. در واقع سرور به پاسخگویی به درخواستهای بی شمار هکر مشغول می شود و از پاسخگویی به کاربران واقعی باز می ماند
-4-1 حملات دسترسی به شبکه
در این نوع از حملات، نفوذگر امکان دسترسی غیرمجاز به منابع شبکه را پیدا می کند و از این امکان برای انجام فعالیتهای غیرمجاز و حتی غیرقانونی استفاده می کند. برای مثال از شبکه به عنوان مبدا حملاتDOS خود استفاده می کند تا درصورت شناسایی مبدا، خود گرفتار نشود. دسترسی به شبکه را می توان به دو گروه تقسیم کرد.
الف- دسترسی به داده : در این نوع دسترسی ، نفوذگر به داده موجود بر روی اجزاء شبکه دسترسی غیرمجاز پیدا می کند. حمله کننده می تواند یک کاربر داخلی یا یک فرد خارج از مجموعه باشد. دادههای ممتاز و مهم معمولا تنها در اختیار بعضی کاربران شبکه قرار می گیرد و سایرین حق دسترسی به آنها را ندارند. در واقع سایرین امتیاز کافی را جهت دسترسی به اطلاعات محرمانه ندارند، اما می توان با افزایش امتیاز به شکل غیر مجاز به اطلاعات محرمانه دسترسی پیدا کرد. این روش به تعدیل امتیاز* مشهور است.
ب- دسترسی به سیستم : این نوع حمله خطرناکتر و بدتر است و طی آن حمله کننده به منابع سیستم و دستگاهها دسترسی پیدا می کند. این
دسترسی می تواند شامل اجرای برنامهها بر روی سیستم و به کار گیری منابع آن در جهت اجرای دستورات حمله کننده باشد. همچنین حمله کننده می تواند به تجهیزات شبکه مانند دوربینها ، پرینترها و وسایل ذخیره سازی دسترسی پیدا کند. حملات اسب ترواها ،Brute Forceو یا استفاده از ابزارهایی جهت تشخیص نقاط ضعف یک نرم افزار نصب شده بر روی سیستم از جمله نمونههای قابل ذکر از این نوع حملات هستند.
فعالیت مهمی که معمولا پیش از حملات Dos و دسترسی به شبکه انجام می شود، شناسایی است. یک حمله کننده از این فاز جهتی افتن حفرههای امنیتی و نقاط ضعف شبکه استفاده می کند. این کار می تواند به کمک بعضی ابزارها آماده انجام پذیرد که به بررسی پورتهای رایانههای موجود بر روی شبکه می پردازند و آمادگی آنها را جهت انجام حملات مختلف بر روی آنها بررسی می کنند.
-5-1 مراحل نفوذ
به طور کلی نفوذ و حمله از جانب نفوذی به شبکههای کامپیوتری در طی سه مرحله صورت میگیرد که عبارتند از:
· شناسایی
· استفاده از نقاط ضعف و به دست آوردن سناریوی نفوذ
· حمله و نفوذ به شبکههای کامپیوتری
-6-1 انواع روش های تشخیص نفوذ
نفوذ به مجموعهی اقدامات غیر قانونی که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر میاندازد ،اطلاق میگردد.
استراتژی امنیتی سازمان باید به گونهای طراحی شود که سه اصل مهم زیر همواره رعایت گردد.
:Confidentiality محرمانه بودن اطلاعات به این معنا که تنها افراد مجاز، به اطلاعات دسترسی خواهندیافت.
:Integrity جامعیت یا کامل بودن و صحت اطلاعات و روشهای پردازش اطلاعات باید تضمین شود.
:Availability در دسترس بودن اطلاعات بطور صحیح در اختیار افرادی که حق دسترسی به آن را دارند قرارگیرد. نفوذها میتوانند به دو دسته داخلی و خارجی تقسیم شوند. نفوذهای خارجی به آن دسته نفوذهایی گفته میشود که توسط افراد مجاز یا غیرمجاز از خارج شبکه به درون شبکهی داخلی صورت میگیرد و نفوذهای داخلی توسط افراد مجاز در سیستم و شبکهی داخلی ،از درون خود شبکه انجام میپذیرد. روشهای تشخیص مورد استفاده در سیستمهای تشخیص نفوذ به دو دسته تقسیم میشوند:
1. روش تشخیص رفتار غیر عادی
2. روش تشخیص سو استفاده
-8-1 روش تشخیص سو استفاده
در این تکنیک که معمولا با نام تشخیص مبتنی بر امضا شناخته شده است الگوهای نفوذ از پیش ساخته شده به صورت قانون نگهداری میشوند. به طوری که هر الگو انواع متفاوتی از یک نفوذ خاص را در برگرفته و در صورت بروز چنین الگویی در سیستم ،وقوع نفوذ اعلام میشود. در این روشها معمولا تشخیص دهنده دارای پایگاه دادهای از امضاها با الگوهای حمله است و سعی میکند با بررسی ترافیک شبکه ،الگوهای مشابه با آنچه را که در پایگاه داده خود نگهداری میکند ،بیابد. این دسته از روشها تنها قادر به تشخیص نفوذهای شناخته شده میباشند و در صورت بروز حمله جدید در سطح شبکه نمیتوانندآنها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سیستم تشخیص نفوذ اضافه کند. از مزایای این روش دقت در تشخیص نفوذهایی است که الگوی آنها عینا به سیستم داده شده است.
-2 سیستم تشخیص نفوذ
سیستمهای تشخیص نفوذ وظیفهی شناسایی و تشخیص هرگونه سو استفادههای غیر مجاز به سیستم ،سو استفاده یا آسیب رسانی توسط هر دو دسته کاربران داخلی و خارجی را بر عهده دارند. سیستمهای تشخیص نفوذ به صورت سیستمهای نرم افزاری و سخت افزاری ایجاد شده و هر کدام مزایا و معایب خاص خود را دارند. سرعت و دقت از مزایای سیستمهای سخت افزاری است و عدم شکست امنیتی آنها توسط نفوذگران ،قابلیت دیگر این گونه سیستمها میباشد. اما استفاده آسان از نرم افزار ،قابلیت انطباق پذیری در شرایط نرم افزاری و تفاوت سیستمهای عامل مختلف ،عمومیت بیشتری را به سیستمهای نرم افزاری میدهد و عموما این گونه سیستمها انتخاب مناسب تری هستند. به طور کلی سه عملکرد سیستمهای تشخیص نفوذ عبارتند از:
· نظارت و ارزیابی
· کشف
· واکنش
بر همین اساس هر IDS را میتوان براساس روشهای تشخیص نفوذ ،معماری و انواع پاسخ به نفوذ دستهبندی کرد.
-1-2 انواع معماری سیستمهای تشخیص نفوذ
· سیستم تشخیص نفوذ مبتنی بر میزبان - - HIDS
· سیستم تشخیص نفوذ مبتنی بر شبکه - - NIDS
-1-1-2 سیستم تشخیص نفوذ مبتنی بر میزبان
این سیستم و تشخیص فعالیتهای غیرمجاز بر روی کامپیوتر میزبان را برعهده دارد. سیستم تشخیص نفوذ مبتنی بر میزبان میتواند حملات و تهدیدات را روی سیستمهای بحرانی تشخیص دهد که توسط سیستمهای تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند. سیستم تشخیص نفوذ مبتنی بر میزبان فقط از میزبانهایی که روی آنها مستقر است محافظت میکند و کارت واسط شبکهی آنها به صورت پیش فرض در حالت با قاعده کار میکند. حالت با قاعده ،در بعضی از موارد میتواند مفید باشد. چون همهی کارتهای واسط شبکهی قابلیت حالت بی قاعده را ندارند سیستم تشخیص نفوذ مبتنی بر میزبانها به واسطهی مکانشان روی میزبانی که باید نظارت شود ،از همهی انواع اطلاعات محلی اضافی امنیتی مطلع میباشند این مسئله هنگام ترکیب با ارتباطات شبکهای دادههای خوبی برای جستجوی رویدادهای ممکن فراهم میکند. در IDSهای مبتنی بر میزبان احتمال هشدارهای نادرست بسیار کم است چرا که اطلاعات مستقیما به کاربران برنامههای کاربردی برمیگردد. این IDS ها ترافیک کمتری نسبت به NIDSها داشته و تاکید ببیشتری روی حسگرهای چندگانه مجزا و ایستگاهای مدیریت مرکزی دارند.
-2-1-2 سیستم تشخیص نفوذ مبتنی بر شبکه
نام NIDS از این حقیقت مشتق شده است که از منظر محلی که قرار گرفته ،بر تمام شبکه نظارت دارد. شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستمهای بحرانی ،به عهده سیستم تشخیص نفوذ مبتنی بر شبکه است. NIDSها اغلب از دو بخش ناظر و عامل تشکیل شدهاند. این دو بخش اغلب در پشت دیوارهی آتش و بقیهی نقاط دسترسی برای تشخیص هر نوع فعالیت غیرمجاز نصب میشود. عاملهای شبکه میتوانند جایگزین زیرساختار شبکه شوند تا ترافیک شبکه را جستجو کنند. نصب عاملها و ناظرها این مزیت را دارد که هر نوع حملهای را در ابتدا از بین میبرد.
