بخشی از مقاله
چکیده -
امروزه توسعه روزافزون شبکه های رایانهای و کاربرد وسیع آن در زندگی بشر، لزوم تأمین امنیت این شبکهها را بیش از پیش نمایان ساخته است. جهت تأمین امنیت از ابزار و تجهیزات مختلفی استفاده میشود که سیستم تشخیص نفوذ از جمله آنها به شمار میرود. سیستمهای تشخیص نفوذ، اغلب از دو روش تشخیص سوء استفاده و تشخیص ناهنجاری به منظور تشخیص نفوذ استفاده می کنند.
سیستمهای تشخیص نفوذ وظیفه شناسایی و تشخیص هرگونه استفاده غیرمجاز از سیستم، سوء استفاده و یا آسیب رسانی توسط هر دو دسته کاربران داخلی و خارجی را بر عهده دارند. در این راستا استفاده از رویکردهای هوشمندانه ی داده کاری و سیستم های خبره، به منظور پیشگویی ناهنجاری ها در شبکه های کامپیوتری در حال افزایش است ، در این مقاله با بکارگیری عامل های نرم افزاری سیار به عنوان ابزارهای هوشمند سازی برقراری امنیت ، مدلی ابتکاری برای بهبود روش های تشخیص و پیشگیری در محیط شبکه های کامپیوتری ارائه می کنیم.
-1 مقدمه
یکی از اساسی ترین اهداف در خصوص شبکه های کامپیوتری امنیت و محرمانگی داده ها و اطلاعات است. با توجه به گسترش روز افزون شبکه های کامپیوتری و اتصال اکثر این شبکه ها به شبکه اینترنت، تهدیدات امنیتی خارجی به شبکه های کامپیوتری بیشتر شده ، هرچند تهدیدات داخلی شبکه نیز از اهمیت ویژه ای برخوردار است و نیاز به کنترل دارد . نفوذ به اقدامات غیر قانونی گفته می شود که محرمانگی داده ها و اطلاعات را به خطر انداخته و دسترسی به اطلاعات را دچار اختلال می کند.
استفاده از سیستم های تشخیص و پیشگیری از نفوذ[1]، تصمیمی حساس برای سازمان ها و محیط های با تراکنش های ورودی /خروجی بالا می باشد. چراکه این سیستم ها برای انجام وظایف اصلی خود نیاز به کنترل ترافیک داده ای می باشند.
مواردی نظیرکاهش کارآیی، ایجاد نقاط گلوگاه و افت تعادل بار سیستم از دغدغه های اصلی سرویس دهندگان و سرویس گیرندگان محیط شبکه های کامپیوتری در استفاده از سیستم های امنیتی می باشد.
فرآیند پایش و تحلیل رخداد ها، با هدف شناسایی تلاش هایی که قصد آن ها به خطر انداختن محرمانگی، یکپارچگی، قابلیت دستیابی و یا دور زدن مکانیزم های امنیتی در یک سیستم یا شبکه کامپیوتری است را تشخیص نفوذ گویند
به عبارت دیگر سیسثم های ثشخیص نفوذ، وظیفه شناسایی و ثشخیص هرگونه اسثفاده غیر مجاز به سیسثم، سوء اسثفاده و یا آسیب رسا نی ثوسط هر دو دسثه کار بران داخلی و خارجی را بر عهده دا رند سیسثم های ثشخیص نفوذ به صورت سیسثم های نرم افزاری و سخت افزاری ساخثه شده و هر کدام مزایا و معایب خاص خود را دا رند. سرعت، دقت و عدم شکست امنیثی ثوسط نفوذ گران، از مزایای سیسثم های سخت افزاری است. اما اسثفاده آسان از نرم افزار، قابلیت انطباق پذیری در شرایط نرم افزاری و تفاوت سیسثم های عامل مخثلف، عمومیت بیشثری را به سیسثم های نرم افزاری می دهد.
در تشخیص نفوذ باید ابتدا درک مناسبی از چگونگی انجام حمک ت پیدا کرد و سپس بر اساس درک بدست آمده، روشی دو مرحله ای را برای متوقف کردن حملا ت برگزید . اول این که مطمئن شوید الکوی عمومی فعالیت های خطرناک، تشخیص داده شده است. دوم این که اطمینان حاصل کنید که با حوادث مشخصی که در طبقه بندی مشترک حملات نمی گنجند، به سرعت رفتار می شود. به همین خاطر بیشتر سیستم های تشخیص نفوذ بر مکانیزم هایی به منظور به روز رسانی نرم افزار شان متکی هستند که جهت جلوکیری از تهدید های شبکه به اندازه کافی سریع هستند.
سیستم های تشخیص نفوذ از دو مکانیزم کلی برای تشخیص بهره می گیرند که عبارتند از مکانیزم تشخیص سوء استفاده و مکانیزم تشخیص رفتار غیر عادی. در روش تشخیص سواستفاده، از الگوهای نفوذ شناخته شده برای شناسایی نفوذ ها استفاده می شود. در این روش یک پایگاه داده ی مشخص از الگو های حمله وجود دارد که به صورت مجموعه ای از قوانین بیان شده اند.
در این روش هر مجموعه ی ورودی با قوانین در سیستم تشخیص نفوذ مقایسه می شود و در صورتی که بر یکی از این قوانین منطبق شود یک حمله و نفوذ گزارش داده می شود. در روش تشخیص رفتار غیر عادی، رفتار عادی کار بران ملاک عمل قرار داده می شود و در نتیجه هر گونه رفتار مغایر با آن به عنوان تلاش جهت نفوذ به سیستم شناسایی می گردد. مزایای قابل ملاحظه ای از ترکیب این دو روش حاصل می شود. از جمله اینکه با ترکیب این دو روش، واحد تشخیص رفتار غیر عادی به سیستم امکان می دهد تا حملات ناشناخته را تشخیص دهد و واحد تشخیص سوء استفاده هم سیستم ها را از حمله های شناخته شده محافظت می کند
در این مقاله ما برآنیم تا با استفاده از عامل های نرم افزاری سیار به عنوان ابزار هوشمند سازی، یک مدل توزیع شده بین شبکه ای برای طراحی سیستم های تشخیص و پیشگیری از نفوذ ارائه کنیم. در مدل مذکور عامل سیار به عنوان ناظر امنیتی در سرتاسر شبکه حرکت کرده و قواعد امنیتی را اجرا می کند.
-2 پیش زمینه های فناوری مورد نیاز
-1-2 سیستم شناسایی و پیشگیری از نفوذ
سیستم شناسایی و پیشگیری از نفوذ به سیستمی اطلاق می شود که قابلیت شناسایی و تشخیص هرگونه استفاده ی غیر مجاز از سیستم و نیز انجام واکنش ها و عملکردهای آنی و بلادرنگ را برای جلوگیری و کاهش رفتارهای نا بهنجار، داشته باشد. این سیستم در واقع از ترکیب دو سیستم رفتارهای غیر عادی - Anomaly Detection - و سیستم شناسایی تایید هویت - Signature Detection - می باشد. این دو تکنیک با تعامل یکدیگر، منابع موجود بر روی شبکه را برای تشخیص هجوم و رفتارهای غیر عادی مورد تجزیه و تحلیل قرار می دهند.
-2-2 عامل های هوشمند سیار
این عامل ها[5]، نوعی موجودیت نرم افزاری با قابلیت های استقلال، توانایی های اجتماعی، یادگیری و از همه مهمتر تحرک می باشند. همچنین این عامل ها را می توان فرآیندی دانست که قابلیت تغییر محیط اجرایی خود را بدون تغییر در داده هایشان دارند و به بهترین نحو در محیط جدید اجرا می شوند. این عامل ها قدرت تصمیم گیری مبنی بر اینکه چه زمانی و کجا حرکت کنند را دارند.
هنگامی که یک عامل هوشمند سیار تصمیم به حرکت می گیرد، حالات خود را ذخیره و سپس این حالات ذخیره شده را به محیط جدید می برد و در نهایت اجرای خود را در محیط جدید از بعد از حالات ذخیره شده انجام می دهد. این عامل ها همچنین قابلیت این را دارند که در هر زمانی از اجرای خود، محیط اجرایی خود را تعویض کنند. این باعث می شود که آن ها به عنوان ابزاری قدرتمند در اجرای برنامه های کاربردی توزیع شده در شبکه های کامپیوتری شناخته شده باشند.
-3-2 اهداف طراحی سیستم، عاملهای هوشمند سیار
یکی از مهمترین هدفهای طراحی سیستمهای عامل هوشمند، یادگیری کشف ناهنجاری ها در کامپیوتر میزبان و شبکه ها با استفاده از عامل های سیار منفردی که زیر سیستم های خاصی را مورد هدف قرار داده اند می باشد. استفاده از تکنولوژی عامل های سیار هوشمند به منظور پردازش هوشمندانه داده های رسیده از منابع، همکاری عامل ها با یکدیگر در به اشتراک گذاشتن اطلاعات در مورد رخداد های بدگمان و تعیین اینکه چه زمانی بایا مراقب بود و چه زمانی بایا راحت بود. اعمال الگوریتم ها و تکنیکهای داده کاوی به داده های غیر همگون و منابع داده تا بتوانیم ناهنجاری ها را تعیین کرده و در زیر سیستم ها مختلف بر علیه آن ها عکس العمل نشان دهیم.
ویژگی بارز سیستم تشخیص نفوذ مبتنی بر دادهکاوی، پشتیبانی از جمع آوری داده ها و دانش از تماس نقاط سیستم مورد بررسی و عملیات بر روی آن ها می باشد. سیستم می تواند منبع نفوذ های مجتمع یا چند مرحله ای را شناسایی کند و اقدامات متقابل را علیه آن آغاز نموده و برای مدیریت سیستم مستنداتی را فراهم کند که در عکس العمل علیه نفوذ ها به وی کمک می کند.
همچنین ما در این برنامه برای کنترل پیشرفت فرآیند شبیه سازی از مجموعه ای از متغیر های محلی و عمومی استفاده کرده ایم.شکل 2 نمایی از صحفه شبیه سازی در برنامه ی NetLogo4.2 و - - Switch را نشان می دهد که شامل متغیرهایی از قبیل: سوییچ ها4.2 و نیز ناحیه ی شبیه سازی است.
-4-2 معماری مدل پیشنهادی
در شبکه های کامپیوتری سرویس دهنده و سرویس گیرنده باید از منابع خودشان در مقابل حملات دفاع کنند و امنیت آنان را تامین کنند.سیستم شناسایی و پیشگیری از نفوذ، یکی از ملزومات محیط های مبتنی برشبکه است که می تواند باعث تامین امنیت سرویس ها در مقابل حملات شود.در این مقاله ما با استفاده از عامل های هوشمند سیار،سیستم شناسایی و پیشگیری از نفوذی را پیشنهاد میکنیم که باعث تامین امنیت سرویس گیرنده و سرویس دهنده در یک ارتباط شبکه ای می شود.
سیستم پیشنهادی ما شامل نرم افزاری برای اجرای عامل های هوشمند در محیط اجرای عامل های هوشمند - Agent Runtime Environment - ARE است. محیط اجرای عامل های هوشمند بخشی از سیستم شناسایی و پیشگیری از نفوذ می باشد که به عامل های هوشمند اجازه میدهد به طور ایمن اجرا شوند بگونه ای که در برابر حملات خارجی ایمن باشند.این محیط به عامل های هوشمندی که جزئی از سیستم شناسایی و پیشگیری از نفوذ هستند اجازه ی اجرا شدن می دهد.
- پایگاه داده اطلاعات :شامل داده هایی است که از الگوی رفتاری مهاجمان به دست آمده.این پایگاه داده پس از تشخیص رفتارهای غیر عادی توسط عامل هوشمند به روز رسان و نیز پس از اطلاعات به دست آمده توسط عامل هوشمند آنالیزگر، به روز رسانی می شود.
- پایگاه داده الگوها : شامل نقش ها و الگوهای دفاعی می باشد و توسط عامل هوشمند به روز رسان،به روز رسانی می شود.
- عامل هوشمند: این عامل هوشمند در سمت سرویس گیرنده و یا در گره ای از شبکه که جزئی ازشبکه است اجرا می شود.این عامل هوشمند رفتار کاربر و فعالیت های غیر عادی در گره را با استفاده از تجزیه و تحلیل اطلاعات ثبت شده ی سیستم عامل، مورد بررسی قرار می دهد و آن ها را برای سیستم شناسایی و پیشگیری از نفوذ برای تصدیق میفرستد.عامل هوشمند در واقع عامل هوشمند سیار است که بین سیستم پیشنهادی و سرویس گیرنده و سیستم پیشنهادی وشبکه جا به جا می شود.
