بخشی از مقاله
چکیده
در این مقاله با ترکیب سیستمهای تشخیص نفوذ با شبکه اجتماعی معماری جدیدی ارایه شده، که در آن برای سیستمهای تشخیص نفوذ در بستر شبکه اجتماعی امکان اشتراک دانش فراهم شده است. این سیستم از یک دیدگاه در رسته سیستمهای توزیع شده قرار میگیرد. اما به لحاظ عملکردی کاملا با آنها متفاوت می باشد. عمدهترین تفاوت آن در نحوه کسب دانشهای جدید است. سیستم پیشنهادی می تواند بر مشکلاتی چون عدم توسعه پذیری، وجود نقطه شکست و محدودیت در نوع سیستم تشخیص نفوذ، فایق آید.
ابتدا با ارایه یک معماری توزیع شده مبتنی بر ساختار شبکه اجتماعی و قراردادن سیستمهای تشخیص نفوذ به عنوان گره های این شبکه و همچنین تعریف پروتکل و ساختار ارتباطی، امکان اشتراک دانش فراهم آمده است. سپس سیستم پیشنهادی - - SNIDS شبیه سازی شده و با استفاده از دو سیستم تشخیص نفوذ کد باز به نامهای Snort[1] و Bro[2] توسعه داده شده است. نتایج ارزیابی اولیه با استفاده از داده های DARPA2000[3] بر روی این سیستم نشان دهنده تاثیر اشتراک دانش در بهبود عملکرد سیستمهای تشخیص نفود می باشد.
-1 مقدمه
با رشد سریع اینترنت تنش های مربوط به آن نیز افزایش یافته است. علاوه براین تکنولوژی نفوذ به سمت روشهای پیچیدهای چون حملات هماهنگ و مشارکتی سوق پیداکرده است. در چنین شرایطی نیاز مبرم به ابزارهای نرم افزاری که بتوانند بطور خودکار دامنه وسیعتری از نفوذها را شناسایی کنند، احساس می شود. سیستمهای تشخیص نفوذ به عنوان نگهبان شبکه باید توانایی شناسایی و دفاع را در زمان بسیار کوتاه داشته باشند.
در یک دسته بندی کلی، می توان سیستمهای تشخیص نفوذ را به سیستمهای متمرکز و توزیع شده تقسیم بندی نمود. در سیستمهای متمرکز تمام اجزای سیستم تشخیص نفوذ به صورت یکجا و بر روی یک رسانه در شبکه فعالیت می کنند. اما در سیستمهای توزیع شده با هدف افزایش ضریب ایمنی، تحمل پذیر آسیب و توزیع بار ترافیکی شبکه تمام یا برخی از اجزای سیستم تشخیص نفوذ مانند حسگرها، واقعه نگار و یا حتی جزء تحلیلگر بر روی ناحیه های مختلف یک شبکه یا چندین شبکه متفاوت توزیع می شوند.
در سیستمهای توزیع شده موجود نظیر GrIDS[6]، DIDS[5]، EMERALD[4] و AAFID[7] یا سیستمهای مبتنی بر عاملهای متحرک[8]، جزء تحلیلگر بین بخشهای مختلف شبکه توزیع شده است. همچنین در سیستمهای توزیع شده دیگری نظیر [9]TaoPeng جزء حسگر و یا در سیستم معرفی شده در [10] جزء واقعه نگار - - Logger بین بخشهای مختلف شبکه توزیع شده است. اما در هیچیک از این سیستمها جزء استنتاج دانش توزیع نشده است. معماری پیشنهادی در واقع به عنوان یک مکمل می تواند در کنار هر یک از این نوع سیستمها قرار گیرد. و امکان اشتراک دانشهای جدید را بین سیستمهای تشخیص نفوذ فراهم نماید . به عبارت دیگر معماری پیشنهادی فراتر از سطح سیستمهای تشخیص نفوذ بوده و برای ایجاد ارتباط بین آنها بکار می رود.
مزایایی بکارگیری این سیستم در کنار سیستمهای موجود شامل: گسترش پایگاه دانش تشخیص، بهره گیری از الگوریتمهای متفاوت در استنتاج دانشهای جدید، حذف نقطه شکست، قابلیت توسعه پذیری نامحدود و امکان بهره گیری از سیستمهای تشخیص نفوذ ناهمگون میباشد. در بخش دوم این مقاله به بررسی کارهای مرتبط با اشتراک دانش در سیستمهای تشخیص نفوذ و در بخش سوم به تشریح سیستم پیشنهادی و اجزای مختلف آن می پردازیم. در بخش چهارم به مقایسه سیستم پیشنهادی و سیستمهای مشابه پرداخته و نتایج ارزیابی اولیه سیستم SNIDS را ارایه می کنیم.
-2 کارهای مرتبط
کارهای انجام شده در رابطه با سیستمهای تشخیص نفوذ در حوزه اشتراک دانش، که با عناوین مختلفی چون سیستمهای توزیع شده تعاملی، سیستم های توزیع شده، اشتراک اطلاعات و دیگر عناوین نام برده شده است، را بررسی می کنیم: Tao Peng و همکارانش مقاله ای با عنوان "مدل اشتراک برای سیستمهای توزیع شده"[9] را ارایه نموده اند. در این مدل آمارها بوسیله یک الگوریتم جمع تراکمی گردآوری میشود. سپس با استفاده از یک رویکرد یادگیری ماشین به هماهنگ سازی اطلاعات به اشتراک گذاشته شده در بین سیستمهای تشخیص توزیع شده پرداخته می شود.
بزرگترین اشکال این مدل وجود هماهنگ ساز - به عنوان یک ابزار متمرکز - است که علاوه بر گلوگاه شدن، امکان Single Point Failed وجود خواهد داشت. همچنین آسیب پذیری مدل نیز به دلیل وجود هماهنگ ساز بالاتر می رود. در مقابل سیستم SNIDS فاقد هر گونه کنترل کننده مرکزی است و در آن هر سیستم تشخیص نفوذ به تنهایی و به صورت محلی در خصوص نفوذها تصمیم گیری می نماید. و از شبکه اجتماعی ایجاد شده برای اشتراک دانش با دوستان استفاده مینماید.
در [10] برای یکپارچه سازی سیستمهای تشخیص نفوذ همگون و ناهمگون دو مدل ارایه شده است. در مدل یکپارچه سازی مستقیم با استفاده از یک کنسول واحد، مدیریت و نظارت چندین سیستم صورت می گیرد. بدین ترتیب سیستمها می توانند داده هایشان را متقابلا به اشتراک گذارند. اما در یکپارچه سازی غیرمستقم که با استفاده از یک نرم افزار مدیریت رخدادها و اطلاعات امنیتی - - SIEM انجام می شود، روش به این صورت است که اطلاعات از logهای مختلف جمع آوری می شود و از طریق SIEM همبستگی و هماهنگی بین آنها انجام می شود.
در مدل اول هر چند که نقش کنسول مدیریتی کم رنگتر است، اما وجود آن به عنوان یک ناظر می تواند مشکل تمرکز سرویس را بوجود آورد که در معرض آسیب پذیریهای بیشتری میباشد. معضل دیگر همان است که توسط نویسندگان نیز مطرح شده است یعنی عدم همکاری برخی سیستمها در اشتراک اطلاعات. در مورد مدل دوم همچنان مشکلات مطرح شده در [9] وجود دارد. در صورتی که در SNIDS عملا هیچ گرهی وظیفه هماهنگ سازی را بر عهده نداشته و محدودیتی نیز در نوع سیستم تشخیص نفوذ وجود ندارد.
Geetha, Delbert یک سیستم تشخیص نفوذ غیر متمرکز معرفی نمودند.[11] یک شبکه همسایگی مجازی که در آن هر همسایه وظیفه مراقبت از دیگری به عهده دارد. با مشاهده یک نفوذ، دیگران نیز مطلع شده و فیدبک لازم از آنها جمع آوری می شود. هر سایت عاملهای متحرکی را در دوره های زمانی مشخصی برای بررسی همسایه ها و ارایه گزارش اعزام مینماید. در این مدل هر چند که هیچ کنترل کننده مرکزی وجود ندارد اما تفاوتهای آن با شبکه اجتماعی مطرح شده اولا در روش واکنش در مقابل نفوذ است که در این مدل با جمع آوری فیدبکها عملا نتیجه گیری، با رای گیری انجام میشود. هر چند که کسب نتیجه صحیح تر خواهد بود اما سرعت آنالیز نیز به همان نسبت کاهش می یابد. ثانیا در این مدل هیچ اشتراک دانشی صورت نمیگیرد و هر سیستم به تنهایی به جمع آوری دانش در باره نفوذها پرداخته و فقط برای تصمیم گیری از کمک سایرین استفاده مینماید.
-3 سیستم پیشنهادی
یکی از روشهای نوین اشتراک دانش، استفاده از الگوی شبکههای اجتماعی است. چنانکه از نام سیستم SNIDS نیز برمی آید، سیستمی است مبتنی بر شبکه اجتماعی و ماهیت عملکردی آن یک روش مبتنی بر همکاری می باشد. در ادامه به تشریح اجزای سیستم و روابط بین آنها می پردازیم.
.1-3 گره - سیستم تشخیص نفوذ -
در شکل - 1 - که یک نمای شماتیک توسعه داده شده از سیستم تشخیص نفوذ است. اجزای لازم برای هر گره نمایش داده شده است. از آنجا که اجزای کلی بین تمام سیستمهای تشخیص نفوذ مشابه می باشند، صرفا به تشریح بخشهای موثر در سیستم پیشنهادی می پردازیم. شکل :1 اجزای سیستم تشخیص نفوذ به عنوان یک گره در شبکه اجتماعی الف - جزء ارتباط: این جزء وظیفه تبادل دانش با دیگر گرهها در شبکه اجتماعی را بر عهده دارد.
پروتکل تبادل دانش نیز در همین جزء استقرار دارد. دانشی که توسط گره های دیگر منتشر میشود توسط این جزء دریافت شده سپس عمل نگاشت از قالب پروتکل به قالب داخلی صورت می گیرد، نتیجه حاصل دانشی قابل درک توسط سیستم تشخیص نفوذ محلی می باشد، این دانش به واحد تصمیم گیری از جزء یادگیر محلی تحویل می شود. از طرف دیگر این جزء پس از دریافت دانش از واحد استنتاج دانش محلی هماهنگی لازم جهت تبدیل دانش از فرمت داخلی به فرمت پروتکل را انجام داده و آنرا منتشر می نماید.
ب - یادگیر محلی : در سیستمهای تشخیص نفوذ یادگیر، الگوهای جدید نفوذ شناسایی و به پایگاه دانش اضافه میگردد . این وظیفه در سیستم SNIDS توسط جزء یادگیر محلی انجام می شود. خود این جزء شامل دو واحد پردازش و تصمیم گیری میباشد. واحد پردازش وظیفه تحلیل اطلاعات جمع آوری شده در واقعه نگار را برای کشف الگوهای جدید بر عهده دارد. الگوهای کشف شده با کمک واحد تصمیم گیری به پایگاه دانش اضافه میشود.