استاد راهنما: دکتر رضا ابراهیمی، دانشجو: علی احمدیان رمکی، همبسته سازی هشدار در سامانه های هشدار زودهنگام

"همبسته سازی هشدار در سامانه های هشدار زودهنگام"، (پايان نامه کارشناسي ارشد مهندسي کامپيوتر – نرم افزار، مصوب 1390 گروه مهندسي کامپيوتر دانشگاه گیلان، تاریخ دفاع از پایان نامه 19/12/92.

چکیده

اﻣﺮوزه، ﺳﯿﺴﺘﻢ ﻫﺎی ﺗﺸﺨﯿﺺ ﻧﻔﻮذ ﺑﻪ ﻃﻮرﻗﺎﺑﻞ ﻣﻼﺣﻈﻪ ای در ﺟﻬﺖ اﻓﺰاﯾﺶ اﻣﻨﯿﺖ ﺳﯿﺴﺘﻢ ﻫﺎی ﮐﺎﻣﭙﯿﻮﺗﺮی ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ. ﻫﺪف ﺳﯿﺴﺘﻢ ﻫﺎی ﺗﺸﺨﯿﺺ ﻧﻔﻮذ، ﺟﻠﻮﮔﯿﺮی از ﺣﻤﻠﻪ و ﯾﺎ ﻧﻔﻮذ اﺣﺘﻤﺎﻟﯽ ﻧﯿﺴﺖ، ﺑﻠﮑﻪ ﺗﻨﻬﺎ وﻇﯿﻔﻪ ﺗﺸﺨﯿﺺ و اﺣﺘﻤﺎﻻ ﺗﻌﯿﯿﻦ ﻫﻮﯾﺖ ﺣﻤﻼت و ﺗﺸﺨﯿﺺ ﻣﺴﺎﺋﻞ اﻣﻨﯿﺘﯽ در ﺳﯿﺴﺘﻢ ﻫﺎ و ﺷﺒﮑﻪ ﻫﺎی ﮐﺎﻣﭙﯿﻮﺗﺮی را ﺑﺮﻋﻬﺪه دارﻧﺪ و ﮔﺰارش ﻫﺎی ﻻزﻣﻪ را ﺑﺮای ﻣﺪﯾﺮان اﻣﻨﯿﺘﯽ ﻓﺮاﻫﻢ ﻣﯽ آورﻧﺪ. از اﯾﻦ رو ﺳﯿﺴﺘﻢ ﻫﺎی ﺗﺸﺨﯿﺺ ﻧﻔﻮذ ﻧﻘﺶ ﺑﺴﯿﺎر ﻣﻬﻤﯽ را در اﯾﻦ ﺳﺎﻣﺎﻧﻪ ﻫﺎ اﯾﻔﺎ ﻣﯽ ﮐﻨﻨﺪ. ﺑﺎ اﯾﻦ وﺟﻮد، اﺳﺘﻔﺎده از اﯾﻦ ﺳﯿﺴﺘﻢ ﻫﺎ ﻣﺸﮑﻼﺗﯽ را ﺑﻪ ﻫﻤﺮاه ﺧﻮاﻫﺪ داﺷﺖ؛ از ﺟﻤﻠﻪ ﻧﺮخ ﺑﺎﻻی ﻫﺸﺪارﻫﺎی ﻣﺜﺒﺖ-ﻏﻠﻂ، ﻧﺎﮐﺎرآﻣﺪی آن ﻫﺎ ﺑﺮای ﮐﺎرﺑﺮدﻫﺎی ﺑﻼدرﻧﮓ و ﻣﻬﻢ ﺗﺮاز ﻫﻤﻪ، ﻋﺪم ﺗﻮاﻧﺎﯾﯽ آن ﻫﺎ در ﺗﺸﺨﯿﺺ روﯾﺪادﻫﺎی ﻧﺎﮐﺎﻣﻠﯽ ﮐﻪ در آﯾﻨﺪه ﻣﻤﮑﻦ اﺳﺖ ﺣﻤﻼﺗﯽ را در ﭘﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.

     از دﯾﺪﮔﺎه اﻣﻨﯿﺖ اﻃﻼﻋﺎت، اﺗﺨﺎذ روش ﻫﺎی ﺟﻠﻮﮔﯿﺮی از ﻧﻔﻮذ در ﺳﯿﺴﺘﻢ ﻫﺎ وﺷﺒﮑﻪ ﻫﺎی ﮐﺎﻣﭙﯿﻮﺗﺮی ﺑﻪ ﺗﻨﻬﺎﯾﯽ ﮐﺎﻓﯽ ﻧﯿﺴﺖ. ﺳﺎﻣﺎﻧﻪ ﻫﺎی ﻫﺸﺪار زود ﻫﻨﮕﺎم در دﺳﺘﻪ روش ﻫﺎی واﮐﻨﺸﯽ ﻗﺮارﻣﯽ ﮔﯿﺮﻧﺪ. اﯾﻦ ﺳﯿﺴﺘﻢ ﻫﺎ ﻣﮑﻤﻞ ﺳﯿﺴﺘﻢ ﻫﺎی ﺗﺸﺨﯿﺺ ﻧﻔﻮذ ﻫﺴﺘﻨﺪ ﮐﻪ ﻫﺪف اﺻﻠﯽ آن ﻫﺎ ﺗﺸﺨﯿﺺ زودﻫﻨﮕﺎم رﻓﺘﺎرﻫﺎی ﺑﺎﻟﻘﻮه ﻣﺨﺮب درﻣﺤﯿﻂ ﻫﺎی ﺑﺎ ﻣﻘﯿﺎس ﺑﺰرگ ﻧﻈﯿﺮ ﯾﮏ ﮐﺸﻮر اﺳﺖ. ﯾﮏ ﺳﺎﻣﺎﻧﻪ ﻫﺸﺪار زود ﻫﻨﮕﺎم رﻓﺘﺎرﻫﺎی ﻧﺎﺷﻨﺎﺧﺘﻪ ﺳﯿﺴﺘﻢ را ﮐﻪ ﺑﻪ ﻃﻮر ﺑﺎﻟﻘﻮه ﺧﻄﺮﻧﺎک اﺳﺖ را ﺗﺸﺨﯿﺺ ﻣﯽ دﻫﺪ. راه ﺣﻞ ﻫﺎی ﻣﺒﺘﻨﯽ ﺑﺮ ﺳﺎﻣﺎﻧﻪ ﻫﺸﺪار زود ﻫﻨﮕﺎم ﭼﯿﺰی اﺳﺖ ﮐﻪ ﺗﯿﻢﻫﺎی اﻣﻨﯿﺘﯽ ﺟﻬﺖ ﻣﺪﯾﺮﯾﺖ ﺗﻬﺪﯾﺪات اﺣﺘﻤﺎﻟﯽ ﺑﻪ آن ﻧﯿﺎز دارﻧﺪ.

     ﯾﮑﯽ از ﻣﻬﻢ ﺗﺮﯾﻦ ﻓﺮآﯾﻨﺪﻫﺎ در ﺳﯿﺴﺘﻢ ﻫﺎی ﻫﺸﺪار زودﻫﻨﮕﺎم، ﺗﺤﻠﯿﻞ و ﻫﻤﺒﺴﺘﻪ ﺳﺎزی ﻫﺸﺪارﻫﺎی ﺟﻤﻊ آوری ﺷﺪه ازﺣﺲﮔﺮﻫﺎی ﻧﺼﺐ ﺷﺪه در ﺷﺒﮑﻪ ﺗﺤﺖ ﭘﻮﺷﺶ ﻧﻈﯿﺮ ﺳﯿﺴﺘﻢ ﻫﺎی ﺗﺸﺨﯿﺺ ﻧﻔﻮذ، ﺗﻠﺴﮑﻮپ ﻫﺎی IP و ﺳﯿﺴﺘﻢ ﻫﺎی ﮐﺸﻒ ﺷﺒﮑﻪﻫﺎی ﺑﺎت اﺳﺖ. ﻫﻤﺒﺴﺘﻪ ﺳﺎزی ﻫﺸﺪار ﻓﺮآﯾﻨﺪی اﺳﺖ ﮐﻪ در آن ﻫﺸﺪارﻫﺎی ﺗﻮﻟﯿﺪ ﺷﺪه ﺗﻮﺳﻂ ﯾﮏ ﯾﺎ ﭼﻨﺪ ﺣﺲﮔﺮ اﻣﻨﯿﺘﯽ ﻣﻮﺟﻮد در ﯾﮏ ﺷﺒﮑﻪ ﺗﺤﻠﯿﻞ ﺷﺪه ﺗﺎ در ﻧﻬﺎﯾﺖ دﯾﺪ ﮐﺎﻣﻠﯽ از ﺗﻼش ﻫﺎی ﻧﻔﻮذی اﺣﺘﻤﺎﻟﯽ ﺑﻪ دﺳﺖ آﯾﺪ.

     در اﯾﻦ ﭘﺎﯾﺎن ﻧﺎﻣﻪ، ﻋﻼوه ﺑﺮ ﻣﻌﺮﻓﯽ ﯾﮏ ﺳﯿﺴﺘﻢ ﻫﺸﺪار زودﻫﻨﮕﺎم ﭘﯿﺸﻨﻬﺎدی ﺑﺮای ﺗﺸﺨﯿﺺ ﺣﻤﻼت اﯾﻨﺘﺮﻧﺘﯽ،  ﯾﮏ ﭼﺎرﭼﻮب ﮐﺎرا ﺑﺮایﻫﻤﺒﺴﺘﻪ ﺳﺎزی ﻫﺸﺪار در ﺳﺎﻣﺎﻧﻪ ﻫﺎی ﻫﺸﺪار زود ﻫﻨﮕﺎم ﭘﯿﺸﻨﻬﺎد ﻣﯽ ﮔﺮدد. اﯾﻦ ﭼﺎرﭼﻮب  ﭘﯿﺸﻨﻬﺎدی ﺑﺮﭘﺎﯾﻪ ﺗﺮﮐﯿﺒﯽ از ﺗﮑﻨﯿﮏ ﻫﺎی آﻣﺎری و ﺟﺮﯾﺎن ﮐﺎویﻋﻤﻞ ﻣﯽ ﻧﻤﺎﯾﺪ. اﯾﻦ ﻓﺮآﯾﻨﺪ ﺑﻪ ﺻﻮرت ﺑﻼدرﻧﮓ ﺑﺮای اﺳﺘﺨﺮاج ﺗﻮاﻟﯽ روﯾﺪادﻫﺎی ﺑﺤﺮاﻧﯽ از دﻧﺒﺎﻟﻪ ﻫﺸﺪارﻫﺎ اﻧﺠﺎم ﻣﯽ ﺷﻮد. ﺗﻮاﻟﯽ روﯾﺪادﻫﺎی ﺑﺤﺮاﻧﯽ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﺨﺸﯽ از ﯾﮏ ﺳﻨﺎرﯾﻮی ﺣﻤﻠﻪ ﭼﻨﺪ ﻣﺮﺣﻠﻪ ای ﺑﺎﺷﻨﺪ. ﻋﻼوه ﺑﺮ اﯾﻦ از ﯾﮏ ﻣﺎﺗﺮﯾﺲ ﻫﻤﺒﺴﺘﻪ ﺳﺎزی ﻫﺸﺪار ﻧﯿﺰ ﺑﺮای ﺑﯿﺎن ﻣﯿﺰان ﻫﻤﺒﺴﺘﮕﯽ ﺑﯿﻦ ﻧﻮع ﻫﺸﺪارﻫﺎی ﻣﺨﺘﻠﻒ در ﯾﮏ ﺳﻨﺎرﯾﻮی ﺣﻤﻠﻪ ﭼﻨﺪ ﻣﺮﺣﻠﻪ ای، اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد. ﻧﺘﺎﯾﺞ ارزﯾﺎﺑﯽ ﻫﺎ ﺣﺎﮐﯽ از آن اﺳﺖ ﮐﻪ ﭼﺎرﭼﻮب ﭘﯿﺸﻨﻬﺎدی ﺑﻪ  ﺻﻮرت ﮐﺎرا ﺳﻨﺎرﯾﻮی ﺣﻤﻼت ﺷﻨﺎﺧﺘﻪ ﺷﺪه و ﺣﻤﻼت ﺟﺪﯾﺪ ﻧﺎﺷﻨﺎﺧﺘﻪ را ﺗﺸﺨﯿﺺ ﻣﯽ دﻫﺪ. ﻫﻤﭽﻨﯿﻦ ﻧﺘﺎﯾﺞ ﺗﺠﺮﺑﯽ ﻧﺸﺎن ﻣﯽ دﻫﺪ ﮐﻪ ﺳﯿﺴﺘﻢ ﻫﻤﺒﺴﺘﻪ ﺳﺎزی ﻫﺸﺪار ﭘﯿﺸﻨﻬﺎدی در ﺷﺮاﯾﻄﯽ ﺧﺎص ﺗﺎﺣﺪود 95%  ﻗﺎدر ﺑﻪ ﭘﯿﺶ ﮔﻮﯾﯽ از ﮔﺎم ﻫﺎی آﺗﯽ ﻣﻬﺎﺟﻢ اﺳﺖ. ﻋﻼوه ﺑﺮاﯾﻦ، راﻫﮑﺎر ﻫﻤﺒﺴﺘﻪ ﺳﺎزی ﭘﯿﺸﻨﻬﺎدی در ﺳﻨﺠﺶ ﺑﺎ روش ﻫﺎ ی ارﺋﻪ ﺷﺪه در ﭘﮋوﻫﺶ ﻫﺎی ﭘﯿﺸﯿﻦ، ﺳﺮﺑﺎر راﯾﺎﻧﺸﯽ ﮐﻤﺘﺮی دارد. واﮐﺎوی اﻣﻨﯿﺘﯽ درﺳﻄﺢ دﯾﺪﻣﺎن و ﻧﺘﺎﯾﺞ ارزﯾﺎﺑﯽ ﻫﺎ، ﺻﺤﺖ ﭼﻨﯿﻦ ادﻋﺎﻫﺎﯾﯽ را ﻧﺸﺎن ﻣﯽ دﻫﺪ.

ﮐﻠﻤﺎت ﮐﻠﯿﺪی: اﻣﻨﯿﺖ ﺷﺒﮑﻪ، ﺳﺎﻣﺎﻧﻪ ﻫﺸﺪار زودﻫﻨﮕﺎم، ﻫﻤﺒﺴﺘﻪ ﺳﺎزی ﻫﺸﺪار، ﺣﻤﻼت ﭼﻨﺪﻣﺮﺣﻠﻪ ای، ﻃﺮح ﺣﻤﻠﻪ.