16720

16720

طراحي و پياده‌سازي نرم‌افزاري به‌منظور تشخيص نفوذ مبتني بر شبكه با استفاده از روش تركيبي

كارشناسي ارشد

مهندسي نرم‌افزار كامپيوتر

بهمن 1395

دكتر سعيد پارسا

كامپيوتر

نقش يك سيستم تشخيص نفوذ براي آشكارسازي ناهنجاري‌ها در شبكه از اهميت زيادي برخوردار است. حملات جديد و ناشناخته موجب ناكارآمدي راه‌كارهاي شناسايي مبتني بر امضاء و درنتيجه استفاده از راه‌كارهاي شناسايي مبتني بر ناهنجاري شده است. اين راه‌كارها نيز علي‌رغم توانايي بالا در تشخيص ناهنجاري‌ها، از نرخ مثبت كاذب بالا رنج مي‌برند. براي غلبه بر اين مشكل، ايده استفاده از آشكارسازهاي‌ تركيبي مطرح‌شده است. در اين پايان‌نامه يك سيستم تشخيص نفوذ شبكه مبتني بر روش تركيبي با يك معماري چهار لايه‌اي ارائه‌شده ¬است. لايه‌ي‌ اول از ماجول تحليل جريان و طبقه‌بندي ترافيك شبكه تشكيل‌شده است. براي دسته‌بندي و برچسب‌گذاري سرويس‌هاي ترافيك از تركيب تكنيك آماري n-گرام‌ و الگوريتم ژنتيك استفاده‌شده است. از الگوريتم 1-گرام براي ايجاد بردارهاي ويژگي مربوط به سرويس‌هاي مختلف و از الگوريتم ژنتيك براي وزن دهي به هر يك از خانه‌هاي اين بردارها، استفاده‌شده است. در لايه‌ تشخيص نفوذ، ماجول‌هاي تشخيص مبتني بر امضاء و مبتني بر ناهنجاري به شكل تركيبي پياده‌سازي و به‌صورت متوالي ‌فراخواني مي‌شوند. سپس، درنتيجه‌ي پردازش اين ماجول‌ها، لايه تصميم‌گيري فراخواني مي‌شود. در اين لايه ماجول‌هاي تصميم‌سازي متناسب با ماجول‌هاي تشخيص نفوذ وجود دارند. اين ماجول‌ها با توجه به تنظيمات امنيتي تعيين‌شده و بر اساس ماهيت حمله و نوع پاسخ لايه مديريت ثبت وقايع و هشدارها را فراخواني مي‌كنند. در اين لايه ضمن اطلاع‌رساني هشدارها به مدير شبكه، در صورت نياز، اعمال واكنشي و اقدامات امنيتيِ لازم نيز انجام خواهد شد. نتايج حاصل از ارزيابي‌ اعتبارسنجي چندلايه‌اي، بهبود دقت سيستم تشخيص نفوذ پيشنهادي را نشان مي‌دهد كه درنتيجه كاهش ميزان نرخ مثبت كاذب را در پي خواهد داشت. واژه‌هاي كليدي: تشخيص نفوذ، نرخ مثبت كاذب، مديريت وقايع، طبقه‌بندي نوع سرويس، اعمال واكنشي، اعتبارسنجي چند لايه‌اي.

1395/12/02

1/1/1900 12:00:00 AM

Intrusion detection systems play an important role in network anomaly detection. New an​d unknown attacks have magnified the inefficiency of signature-based detection methods, an​d drew attentions toward anomaly-based detection methods. Despite their great ability in anomaly detection, anomaly-based methods suffer from high rate of false-alarms. Hybrid intrusion detection systems have been developed to reduce the false-alarm rate. In this thesis, we propose a hybrid four-layered model of intrusion detection. The first layer consists of data flow analysis an​d service type classification modules. The n-gram statistical technique an​d the genetic algorithm are used to classify an​d label the traffic services; i.e., the 1-gram algorithm is used for extracting feature vectors, an​d the genetic algorithm is used for weighting the extracted features. In the intrusion detection layer, signature-based an​d anomaly-based detection modules have been implemented in a hybrid manner an​d called in succession. The decision-making layer is then called based on the results of intrusion detection process. Based on the security configurations, the attack’s nature an​d the type of required response, the decision-making modules call the notification an​d event log management layer. In this layer, network administrator is notified an​d responsive actions are managed if needed. Cross-validation showed that intrusion detection was improved and, in result, the false alarm rate was reduced. Keywords: Intrusion Detection, False-Positive Rate, Event Log Management, Service Type Classification, Responsive Actions, Cross Validation.