چکیده
امروزه اکثر سیستم های کامپیوتری از ID و رمز عبور کاربران به عنوان الگوهای دخول به سیستم استفاده می کنند تا کاربران را تصدیق نمایند. بهرحال، برخی از افراد الگوهای دخول به سیستمشان را با همکارانشان به اشتراک می گذارند و از این همکاران درخواست کمک در کارها را دارند، لذا این الگو را تبدیل به یکی از ضعیف ترین نقاط امنیت کامپیوتر می نماید. مهاجمان داخلی، کاربران معتبر یک سیستم هستندکه از داخل به سیستم حمله می کنند و چون اکثر سیستم های شناسایی تهاجم، شناسایی دیوارهای آتش و جداسازی رفتارهای مخرب تنها از خارج دنیای سیستم اجرا شده اند، شناسایی این مهاجمان داخلی سخت می باشد. علاوه بر این، برخی از مطالعات مدعی هستند که تحلیل تماس های سیستم (SCs) که با دستور تولید شده اندف می تواند این دستورات را شناسایی کند تا بوسیله ی آن حمله ها را دقیقا مشخص نماید. لازم به ذکر است که الگوهای حمله، ویژگی های یک حمله هستند. بنابراین، در این مقاله، یک سیستم امنیت، با نام شناسایی تهاجم داخلی و سیستم حفاظت (IIDPS) ارائه شده است تا عادات استفاده ی کاربران را به عنوان ویژگی های کالبد سنجی آنها رهگیری کند و بوسیله ی مقایسه ی رفتارهای مصرف کاربر با الگوهای جمع شده در پروفایل شخصیِ نگه دارنده ی حساب، مشخص نماید که نگه دارنده ی حساب یک کاربرِ معتبر وارد شده به سیستم است یا نه. نتایج تجربی نشان می دهد که دقت شناسایی کاربر IIDPS برابر با 94.29% است، در حالیکه زمان پاسخ کمتر از 0.45s است. این مسئله نشان می دهد که IIDPS می تواند یک سیستم محافظت شده را به طور موثر و کارآمد از حمله های خودی محافظت نماید.
دیباچه
در دهه های گذشته، سیستم های کامپیوتری به طور گسترده ای به کار گرفته شده اند تا زندگی های راحت تر و ساده تری را برای کاربران فراهم کنند. اما امنیت در زمانی که مردم از قابلیت های توانمند و قدرت پردازش سیستم های کامپیوتری استفاده می کنند، یکی از مسائل جدی در حوزه ی کامپیوتر می باشد چون مهاجمان اغلب سعی می کنند تا به سیستم های کامپیوتری نفوذ و به طور مخرب رفتار کنند، برای مثال می توان دزدیدن داده ی حیاتی شرکت، سیستم ها را از کار خارج کردن یا حتی تخریب سیستم ها را نام برد.
به طور کلی،حمله ی خودی در میان تمام تهاجم های شناخته شده مانند حمله ی فارمینگ، انکار خدمت توزیع شده (DDoS)، حمله ی استراق سمع، و حمله ی ماهیگیری با نیزه، یکی از دشوارترین موارد برای شناسایی است چون دیوارهای آتش در سیستم های شناسایی تهاجم (IDs) معمولا دربرابر تهاجم های خارجی دفاع می کنند. امروزه اکثر سیستم ها برای تصدیق کاربران، ID کاربر و کلمه ی عبور را به عنوان الگوی ورود به سیستم کنترل می کنند. بهر حال، مهاجمین می توانند برای سرقت الگوی ورود به سیستم قربانی، تروجان هایی نصب کنند یا یک آزمونی با ابعاد بزرگ و با کمک لغت نامه در پیش یگرند تا رمز عبور کاربر را بدست آورند. در زمانی که موفق می شوند، می توانند در ادامه به سیستم وارد شوند، به فایل های خصوصی کاربران دسترسی پیدا کنند یا تنظیمات سیستم را خراب کرده یا تغییر دهد. خوش بختانه، اکثر سیستم های کنونیِ میزبان بنیان و IDSs شبکه بنیان می توانند یم تهاجم شناخته شده را به صورت بهنگام شناسایی کنند. اما شناسایی اینکه مهاجم کیست، دشوار است چون بسته های حمله معمولا با IP های ساختگی مطرح می شوند یا مهاجمین می توانند با الگوهای ورود به سیستم معتبر به یک سیستم وارد شوند. اگرچه، تماس های سیستم سطح OS (SCs) در شناسایی مهاجمین و تشخیص هویت کاربران بسیار مفید است اما پردازش حجم بزرگی از SCs، کاویدنِ رفتارهای مخرب از آنها و شناسایی مهاجمین محتمل برای یک تهاجم هنوز چالش های مهنسی هستند.
کارهای مرتبط
علم کالبدسنجی کامپیوتر که سیستم های کامپیوتر را به عنوان صحنه های جرم می بیند، حقایق و عقاید در مورد اطلاعات جمع آوری شده برای یک واقعه ی امنیتی را شناسایی، نگهداری، بازیابی، تحلیل و ارائه می کند. این علم کاری که مهاجمین انجام داده اند را تحلیل می کنند. این کارها مانند انتشار ویروس های کامپیوتری، بدافزارها و کدهای مخرب و ایجاد تهاجم های DDoS می باشد. اکثر روش های شناسایی تهاجم روی این موضوع که چگونه رفتارهای شبکه ی مخرب یافته شود و ویژگی های بسته های حمله (الگوهای تهاجم، برمبنای تارخچه ی ضبط شده در فایل های ثبت وقایع) بدست آیند، تمرکز کرده اند. Qadeer از کاشف بسته ی خود توسعه داده استفاده کرده است تا بسته های شبکه را جمع کند. او حمله های شبکه را با کمک حالات شبکه و توزیع بسته و از طریق این بسته ها ی شبکه ی جمع آوری شده تمیز می دهد. O’ Shaughnessy and Gray تهاجم شبکه و الگوهای حمله را از فایل های ثبت وقایع سیستم بدست آورده اند. این فایل ها شامل اثراتی از استفاده ی غلط کامپیوتر می شوند. بدین معنی که این اثرات و الگوهای استفاده ی غلط می تواند از فایل های ثبت وقایعی تولید شده از روی قاعده دقیقتر تولید شود. Wu and Banzhaf پیشرفت تحقیقِ روش های به کاربرده شده ی هوش محاسباتی (از جمله شبکه های عصبی مصنوعی، سیستم های فازی، محاسبات تکاملی، سیستم های مصنوعی ایمن و هوش گروهی) را بررسی کردند تا رفتارهای مخرب را شناسایی کنند. این نویسندگان به طور سیستماتیک روش های شناسایی تهاجم مختلفی را مقایسه و خلاصه کرده اند تا به ما امکان دیدن این چالش های تحقیق موجود را به وضوح دهد.
IIDPS
در این بخش، در ابتدا چارچوب IIDPS را معرفی کرده و مولفه های IIDPS را به تفصیل تشریح می نماییم. دو الگوریتم نیز برای تولید یک فایل عادت کاربر و شناسایی یک متجاوز داخلی ارائه می شوند
چارچوب سیستم
همان طور که در شکل 1 نشان داده شده، IIDPS متشکل از یک ناظر و فیلتر SC ، یک سرور کاوش، یک سرور شناسایی، یک شبکه ی محاسباتی محلی و سه مخزن است. لازم به ذکر است که این مخازن، فایل های ثبت وقایع کاربر، پروفایل های کاربر و پروفایل متهاجم هستند. فیلتر و ناظر SC به عنوان یک ماژول قابل بارگذاری قرار داده شده در هسته ی سیستم در نظر گرفته شده است و SCs هایی که به هسته ارسال شده اند را جمع آوری کرده و به شکل (uid,pid,SC) در سیستم محافظت شده ذخیره می نماید. Uid، pid و SC به ترتیب ID کاربر، پردازش ID و SC c بوسیله ی کاربر اساسی ارسال شده است (?). همچنین ورودی های کاربر را در فایل ثبت وقایع کاربر که فایلی برای نگهداری SCs های ارسالی از طرف کاربرِ دنبال کننده ی ترتیب ارسال شده اش است، ذخیرهمی نماید. سرور کاوش، داده ی ثبت وقایع را با روش های داده کاوی تحلیل می کند تا عادات استفاده از کامپیوتر کاربر را به عنوان الگوهای رفتار کاربر شناسایی نماید. سرور شناسایی، الگوهای رفتارهای کاربران را با الگوهای SC که در پروفایل متهاجم جمع شده اند (الگوهای تهاجم) و الگوهای جمع شده در پروفایل کاربر مقایسه می کند تا به ترتیب رفتارهای مخرب را شناسایی کرده و بهنگام مشخص کند که مهاجم واقعی کیست. هنگامی که یک تهاجم شناسایی می شود، سرور شناسایی به فیلتر و ناظر SC اعلام می کند تا کار بر را از سیستم حفاظت شده مجزا کند. هدف این کار جلوگیری از مهاجم است تا پیوسته به سیستم حمله نکند.
آزمایشات
برای تصدیق عملیاتی بودن و دقت IIDPS، سه آزمایش اجرا شد. اولین مورد آستانه ی نرخ قطعی را بین پروفایل کاربری ایجاد شده برای u و هر کدام از پروفایل های کاربری دیگر کاربران تعریف کرده است. مورد دوم دقت را برای سرور شناسایی برخط در زمانی که NCSu بوسیله ی u ارسال شده باشد را مورد مطالعه قرار می دهد. مورد سوم IIDPS را با چندین IDS مدرن که بر پایه ی میزبان هستند (HIDSs) مقایسه کرده است.
شکل 8 ، پیکربندی تجربی را نشان می دهد که متشکل از 12 کاربر است: یک کامپیوتر محافظت شده، آلفا اسمی و دو عضو دیگر از شبکه ی محاسباتی، بتا اسمی با 48 هسته ی پردازش و گاما با 12 هسته ی پردازش. همه ی کامپیوترها با سیستم عامل لینوکس فعالیت می کنند و اندازه ی حافظه برای هر کامپیوتر حداقل 25 GB می باشد. پهنای باند اندازه گیری شده و انواع شبکه میان دو نقطه ی تصادفیِ شبکه ی محاسباتی نیز در شکل 8 نشان داده می شود.
آستانه ی نرخ قطعی
75% رکوردها برای مشخص کردن آستانه ی نرخ قطعی به عنوان داده ی آموزش از هر کدام از 12 فایل ثبت وقایع انتخاب می شود تا 12 پروفایل کاربری متناظر تولید کند و 25% باقی مانده داده های آزمون هستند. این آزمایش ده بار انجام داده شد. با توجه به ترتیب SC ورودی کنونیِ کاربر u (NCSu)، اگر امتیاز تشابه بین پروفایل کاربری NCSu و u در بالای y*100% رتبه بندی می شود. همان طور که پیش از این ذکر شده، آستانه ی نرخ قطعی در میان امتیاز تشابه بین NCSu و هر کدام از پروفایل های کاربری 12 کاربر، y است. نتایج تجربیِ نرخ قطعی در جدول IV نشان داده می شوند. میانگین نرخ قطعی ر این جدول 0.9312 است. بنابراین، آستانه ی y روی 0.9 تنظیم شده است تا این مسئله که آیا کاربر اساسی u برای یک حساب، نگهدارنده ی همان حساب است یا نه را ارزیابی کند. علاوه بر این، اندازه ی پاراگراف به صورت ? (30 SC) تعریف می شود. این موضوع بدین معنا است که سرور شناسایی، نرخ قطعی برای u در زمانی که طول SC های ورودی کنونی u به k برابری طول پاراگراف برسد را حساب می کند (k یک عدد صحیح مثبت است). هدف این کار اجتناب از محاسبه ی پیوسته ی رتبه بندی در هر ورودی SChsj.
مباحثه
در این مقاله، یک IIDPS توسعه داده شده است تا حمله های خودی در سطح SC را با استفاده از داده کاوی و روش های کالبد سنجی شناسایی کند. نتایج تجربی نشان می دهد که IIDPS می تواند به طور موثر در برابر چندین حمله ی فوقالذکر مقاومت کند. خروجی، ویژگی های 16 را توسعه می دهد، این عمل تایید می کند که داده کاوی و روش های کالبد سنجیِ استفاده شده برای شناسایی تهاجم، مقاومت کارآمدی در برابر حمله ارائه می کند.
نتیجه گیری
در این مقاله، رویکردی ارائه کردیم که روش های داده کاوی و کالبد سنجی را برای شناسایی الگوهای SC نشانگر برای یک کاربر به کار می برد.زمانی که الگوهای SC همیشگی در فایل ثبت وقایع کاربر ظاهر می شود، محاسبه می گردد، الگوهای SC که بیشترین استفاده را دارند، فیلتر می شوند و در ادامه یک پروفایل کاربر ایجاد می گردد. IIDPS با شناسایی الگوهای SC یک کاربر به عنوان عادات استفاده ی کامپیوترش از SC های ورودی کنونی، دربرابر حمله های احتمالی مقاومت می کند. نتایج تجربی نشان می دهد که دقت شناسایی میانگین در زمانی که آستانه ی نرخ تعیین 0.9 باشد، بیشتر از 94% است. این موضوع نشان می دهد که IIDPS می تواند به مدیر سیستم در مشخص کردن خودی یا مهاجم در یک محیط بسته کمک کند. مطالعه ی بعدی از طریق بهبود دادن عملکرد IIDPS و تحقیق در مورد دستورات برنامه ی واسط شخص ثالث انجام داده خواهد شد.
این مقاله ISI در سال 2017 در نشریه آی تریپل ای و در مجله سیستم ها، توسط گروه علوم کامپیوتر و گروه مدیریت اطلاعات منتشر شده و در سایت ای ترجمه جهت دانلود ارائه شده است. در صورت نیاز به دانلود رایگان اصل مقاله انگلیسی و ترجمه آن می توانید به پست دانلود ترجمه مقاله شناسایی مزاحمت داخلی با استفاده از روش های کالبد سنجی در سایت ای ترجمه مراجعه نمایید.