هوش مصنوعی، اولویت بندی، الگوریتم ژنتیک

هوش مصنوعی، اولویت بندی، الگوریتم ژنتیک پایان نامه ها
هوش مصنوعی، اولویت بندی، الگوریتم ژنتیک پایان نامه ها

درگاه نامعقول
3
انجام جستجو و کنکاشهای مخرب در محیط
3
به روز نبودن سیستم عامل کاربر
2
ایجاد نشست ارتباط بین سیستم عامل کاربران در سیستم عامل میزبان همسان
2
خاموش شدن غیر معمولی سیستم عامل کاربر
2
بالارفتن ترافیک کاربر بیش از 150 برابر معمول
1

مشکل این سیستم تهیه این قوانین و همینطور تعیین ریسکهای مربوط به آنها میباشد. حتی در برخی موارد نمیتوان برای هر کاربری همه موارد را به کار برد و یا میزان ریسک همسانی را به آنها داد. همچنین تهیه این قوانین نیاز به داشتن آگاهیهایی از زمینه کاربرد کاربر و برنامههای آنها دارد که خود باعث انجام پردازشهایی سنگین و پیچیده و گاه زمانبر میگردد. اما در نوع خود دارای مزیتهایی است. از آن جمله اینکه بیشتر به مباحث درون شبکهای، به ویژه منابع، پرداخته است و از انجام پردازشهایی بر روی عوامل خارجی پرهیز میکند و این یعنی صرفه جویی در انجام پردازشهای مازاد. اما همین خود باعث نقص در سیستم میباشد.
3-6- جایگذاری یک NIDS در یک محیط محاسبات ابری [37]
در [37] نیز همانند [36] از روش تعیین میزان ریسک برای منابع استفاده شدهاست و در سیستم از یک IDS مرکزی استفاده گردیده است. این سیستم نیز بر اساس مکانیزم استفاده شده مزایا و معایبی دارد. از جمله معایب آن فرایند تشخیص طولانی و هزینه بر میباشد و کنترل کننده بخشها خود میتواند یک گلوگاه باشد که باعث کند شدن سیستم و حتی بن بست میشود.
3-7- ابرهای دو قلو: یک معماری برای محیط ابری امن [4]
مقاله [4] به طراحی یک سیستم امنیتی برای تبادل امن اطلاعات با استفاده از احراز هویت و رمزنگاری پرداخته است. در سیستم پیشنهاد شده دو ابر (دو قلو) در نظر گرفته شدهاست. یک ابر معتبر129 و یک ابر ارتباطی130. بنابراین برای تبادل اطلاعات با کاربر به طور مستقیم از ابر معتبر استفاده میشود که به صورت بسیار امن طراحی شدهاست و کاربر برای درخواست هرگونه سرویسی باید درخواست خود را به ابر معتبر بدهد و ابر معتبر نیز به ابر ارتباطی در تماس است و سرویسها را از آن گرفته و به کاربر تحویل میدهد. به این ترتیب هرگونه ارتباط که از قوانین امنیتی طراحی شده تبعیت نکند حمله تشخیص داده شده و با آن مقابله خواهد شد. در شکل (3-4) این سیستم را مشاهده میکنید.
هماهنگی بین این دو ابر میتواند یکی از مسائل مهم باشد که به دقت و ریزه کاری نیاز دارد. پس از آن تبادل اطلاعات بین این دو ابر زمانبر خواهد بود. بنابراین با تغییر در روند ورودی و خروجی و سیاستهای هر یک از این دو ابر باعث اجبار در تغییر ابر دیگر میشود تا همچنان این دو ابر هماهنگ کار کنند.
اما اگر سیستم به خوبی پیاده سازی گردد (که در عمل بسیار سخت میباشد) میتواند به خوبی از منابع اصلی و بسیار حیاتی سیستم محافظت نماید چرا که کاربر هیچگاه به طور مستقیم با منابع در تماس نخواهد بود و همین باعث میشود تا هکرها نتوانند به راحتی حمله خود را طراحی نمایند.

4- فصل چهارم

4- مدل پیشنهادی
4-1- مقدمه
در فصل قبل به بررسی پیشینه تحقیقاتی در زمینه پژوهشمان پرداختیم. همانطور که دیدیم در بیشتر موارد تحقیقات بر روی بخش خاصی از حملات متمرکز بوده است. برخی بر روی دقت بالا، برخی بر روی حفاظت از سرور، برخی بر روی ماشینهای مجازی، برخی بر محافظت از منابع سیستم و برخی بر روی نوع خاصی از حملات متمرکز بودهاند. که هر کدام در مواردی دچار کم و کاستی میشوند.
اما مواردی که در یک سیستم امنیتی قوی باید نظر گرفته شود در زیر آماده است:
1- توانایی تشخیص انواع حملات: در محیط شبکه حملات بسیار زیادی وجود دارد و همینطور روشهای پیاده سازی هر یک از این نوع حملات به صورت پویا تغییر میکنند. بنابراین سیستم باید توانایی تشخیص بیشترین نوع حمله و همینطور روشهای حمله را داشته باشد. در اینصورت میبایست سیستم بتواند مداوم در هر حالت حمله را شناسایی کند.
2- توانایی تشخیص سریع حمله: برخط بودن و سریع بودن سیستم در تشخیص حمله بسیار اهمیت دارد. اینکه بتوان پیش از بروز هرگونه مشکل حمله را تشخیص دهیم بسیار مهم است چرا که در شبکههای کامپیوتری به دلیل تبادل سریع اطلاعات گاهی حمله میتواند در کسری از زمان انجام گرفته و موجب خرابی گردد. همچنین تشخیص سریع به تعیین تمهیدات دفاعی و محافظتی برای سیستم کمک میکند.
3- به روز شدن سریع سیستم دفاعی: با توجه به پویایی سیستمهای کامپیوتری در محیط شبکه، به روز بودن سیستم بسیار مهم است چرا که درصورت عدم شناخت از حملات جدید و روشهای جدید انجام حملات سیستم دارای ضعف خواهد بود و عملا بلا استفاده خواهد گردید.
4- پایایی و در دسترس بودن دائم سیستم: سیستم مورد نظر باید در هر شرایطی و با هر بار پردازشی بتواند به کار خود ادامه دهد و هیچگاه ار دسترس خارج نشود. این مستلزم طراحی مناسب و جایگاه مناسب آن در کل سیستم میباشد که سیستم تشخیص حمله به صورت مستقل طراحی گردد تا درصورت خارج شدن هر بخشی از سیستم باز هم بتواند واکنش مناسب به حملات بدهد.
5- هوشمند بودن سیستم: امروزه، هم به دلیل پیشرفت سریع راههای حمله به سیستمها و هم پیشرفت دانش هوش مصنوعی انتظار میرود سیستمهای دفاعی بتوانند در شرایطی که هیچگونه دانشی از قبل درمورد حملهای ندارند با استفاده از فناوریهای هوش مصنوعی به یادگیری و کشف دانش و یافتن راه مقابله بپردازند. روشهای آماری، آزمایش و خطا و تحلیلی میتواند در این زمینه به کار برده
شوند. درخت تصمیم گیری، شبکههای عصبی، الگوریتم ژنتیک از جمله روشهای مورد استفاده در هوش مصنوعی میباشند.
6- عدم اخلال در سیستم: سیستم دفاعی میبایست به گونهای طراحی گردد که هم پردازش کمی داشته باشد و هم به نسبت بازدهی بالاتر را داشته باشد. همچنین در دریافت و ارسال اطلاعات شبکه اخلالایجاد نکند و با تبدیل شدن به یک گلوگاه باعث کند شدن شبکه نگردد.(درواقع مشکل ساز نشود)
شاید در عمل سیستمهای کمی وجود داشته باشند که تمامی موارد بالا را در وضعیت مناسبی دارا باشند چرا که در برخی موارد تهیه تمام موارد به دلیل همپوشانیهایی که ممکن است رخ دهد قابل برآورده شدن نباشد. گاهی به دست آوردن یکی مستلزم از دست دادن دیگری باشد. برای مثال گاهی پردازش سریع و بر خط مستلزم درگیر شدن منابع از جمله سی پی یو و یا درگیر کردن فضای حافظه بیشتر میباشد. گاهی نیز یافتن حملات بیشتر و بالا رفتن نرخ تشخیص باعث میشود که تبادل اطلاعات در شبکه سیستم کندتر گردد.
در اینجا ما بر آن هستیم تا موارد ذکر شده در بالا را با ارائه یک قالب مناسب برای محیط محاسبات ابری، با نرخ قابل قبولی، تا جایی که ممکن است فراهم سازیم.
4-2- سیستم تشخیص حمله بر اساس دسته بندی ماشینهای درون محیط
4-2-1- شرح قالب پیشنهادی
در سیستم ارائه شده چهار بخش کلی فراهم شدهاست:
1- بخش ساخت قوانین
2- بخش شناسایی ماشینها و پیاده سازی پروفایل
3- بخش شناسایی
4- بخش پیشگیری
بخشهای مذکور به گونهای هستند که هر کدام بتواند به صورت جداگانه و در حوزه کاری خود کار کند و هر گاه که بخشی بخواهد بخش دیگری را فرا خواند تنها میبایست پیامی برای آن بفرستد. بنابراین سیستم ما بر اساس تبادل پیام با یکدیگر کار میکند.
روال کار به اینصورت میباشد که ابتدا به صورت آفلاین رویههایی را بر اساس رفتار سیستم در حالت معمولی و امن تهیه میکنیم و همچنین پایگاه دادهای مشتمل بر امضاء تمامی ناهنجاریهای شناخته شده را فراهم مینمائیم. این قسمت در نخستین مرتبه که سیستم پیاده سازی میشود انجام میپذیرد. و همچنین با استفاده از واکنشهای انجام شده توسط سیستم که در گذشته انجام شدهاست و در پایگاه داده ذخیره گردیدهاند، در مجموع قوانینی را وضع میکنیم که بر اساس آنها به شناسایی حملات بپردازیم. سپس برای هر ماشین مجازی که به سیستم اضافه میگردد یک پروفایل ایجاد میکنیم. این پروفایل در ابتدا که هنوز ماشین شروع به کار نکرده است بر اساس یک سری ضوابط با قوانینی اولویت بندی شده پیکربندی میگردد که شرح کامل این بخش در ادامه خواهد آمد.
پس از آن با توجه به ضوابط تعیین شده در پروفایل هر ماشین، بستههای ورودی و خروجی به آن کنترل میگردد و بر اساس اولویتهای تعیین شده به بررسی حملات احتمالی میپردازیم. در صورت بروز هر کدام از حملات سیستم آنرا تشخیص داده و با ارجاع آن به بخش پیشگیری، بر اساس اولویت آن حمله، روش مناسب مقابله با آنرا اجرا مینماید. همچنین حمله تشخیص داده شده نیز بایگانی میگردد تا توسط بخش تهیه قوانین تحلیل گردد و درصورت امکان قوانین جدید از روی آن تهیه شود. و همچنین گزارش حمله در بخش شناسایی ماشینها و پیاده سازی سیستم در پروفایل ماشین مجازی ثبت میگردد و در صورت نیاز در اولویت بندیها تغییرات لازم اعمال میشود؛ چرا که ممکن است، با توجه به مرتبه تکرار آن، باعث بالارفتن اولویت شناسایی آن حمله در سیستم گردد و روش پیشگیری نیز تغییر کند.
بخش ساخت قوانین و بخش شناسایی ماشینها و پیاده سازی پروفایل بجز بار نخست که باید برای راه اندازی سیستم سریع پیکر بندی گردند در حین کار کردن سیستم نیز میتوانند به صورت آفلاین و در پشت صحنه به کار خود ادامه دهند و در صورت نیاز و تشخیص، تغییرات لازم را در سیستم در کمترین زمان ممکن اعمال نمایند. شکل (4-1) به شرح کلی سیستم پیشنهادی میپردازد. در زیر به شرح هر کدام از بخشها میپردازیم:
4-2-1-1- بخش ساخت قوانین
در ابتدای کار میبایست بتوان یک پایگاه داده از حملات را تهیه نمائیم تا سیستم را راهاندازی کنیم. در ادامه کار سیستم نیز میبایست این پایگاه داده به صورت مداوم به روز رسانی گردد. این کار در بخش ساخت قوانین انجام میپذیرد. بخش ساخت قوانین میبایست بتواند با استفاده از بهترین روشهای موجود و با استفاده از رفتار سیستم به تحلیل آن پرداخته و قوانین موجود را به روز رسانی کرده و یا در صورت نیاز قوانین جدیدی را وضع نماید و به پایگاه داده بیافزاید. در مراحل بعدی در زمانهای مناسبی تغییرات به سرعت برای استفاده در بخشهای دیگر اعمال میگردد.
4-2-1-1-1- روشهای ساخت قوانین
در بخش ساخت قوانین از روشهای مناسبی استفاده میگردد تا بتوان با توجه به ویژگیهای بیان شده برای سیستم قوانین را ساخت. از جمله ویژگیهایی که در این بخش مورد نیاز است توانایی سریع در ساخت قوانین است. هر چه سیستم تشخیص بتواند سریعتر و با کمترین پردازش و با استفاده از کمترین منابع قوانین را تولید کند در این سیستم مفیدتر میباشد. به همین دلیل روشهای بسیار مناسب را به کار میبریم.
روشهای مختلفی ساخت قوانین نیز وجود دارد[38]. ازجمله استفاده از حالتهای گذشته سیستم و یا استفاده از محاسبات آماری[39] و همچنین استفاده از یادگیری ماشین[40]. در تحقیقات مختلف میتوان روشهای مختلف را یافت. اما در اینجا قصد پیاده سازی روش یا روشهایی را نداریم.
ساخت لیست سیاه و سفید نیز از دیگر روشهای ساخت قوانین است. با استفاده از فهرستی از IPهای مجاز و
یا غیر مجاز از برخی حملات دیگر جلوگیری میگردد. یکی از این فهرستها، تمامی IPهای مجاز در دسترسی به DNS131 میباشد. محافظت از مدیر سیستم در جهت مدیریت IPهای مجاز و صدور دسترسی به برخی منابع و انجام کارها بسیار مهم میباشد. بنابراین میبایست فهرستی از تمامی سیستمهای مجاز به دسترسی به بخش مدیریتی میتواند در تشخیص افراد غیر مجاز که قصد نفوذ دارند کمک کند. در بخش دیگری نیز میتواند فهرست افراد غیر مجاز را که پیش از این دست به نفوذ زدهاند را نگهداری کنیم تا درصورت مشاهده مجدد مکانیزم برخورد با آنها بر اساس تعداد نفوذ انجام شده دچار تغییر گردد.
از جمله حملاتی که در شبکههای کامپیوتری وجود دارد حمله اخلال سرویس میباشد. DoS را میتوان با استفاده از تحلیل رفتار سیستم و محاسبه مقادیری به عنوان حد آستانه سیستم تشخیص داد. تا زمانی که حمله از سوی یک سیستم باشد (حملهایستا) این کار به راحتی انجام پذیر میباشد. اما به محض آنکه از چندین سیستم (پویا یا DDoS) این کار انجام گیرد باید از

دیدگاهتان را بنویسید