سال انتشار: ۱۳۸۶

محل انتشار: سومین کنفرانس بین المللی فناوری اطلاعات و دانش

تعداد صفحات: ۸

نویسنده(ها):

وحید آقایی – دانشگاه یزد ودانشگاه صنعتی امیرکبیر
فضل الله ادیب نیا – دانشگاه یزد ودانشگاه صنعتی امیرکبیر
الهام حجتی – دانشگاه یزد ودانشگاه صنعتی امیرکبیر

چکیده:

با فراگیر شدن ابزارهای کاربردهای مختلف به عنوان سرویس دهنده های شبکه، حملات به آن ها مشکلاتی را ایجاد کرده است. سیستم های تشخیص نفوذ( IDS) یک راه حل برای برخورد با چنین مشکلاتی است. اما این سیستم ها در مواجهه بادسترسی های رمز شده با پروتکلهای رمزنگاری، به دلیل این که نمی توانند به محتویات بسته سرکشی کنند. توانایی عکس العمل موثر را ندارند. این مقاله، روشی نوین جهت تشخیص رفتارهایغیر معمول در دسترسی های رمز شده با پروتکلSSH به سرویس دهنده های عمومی شبکه مانند سرورهای http سرورهای ftp و سرورهای پایگاه داده ها را ارائه می دهد. در این روش، ابتدا سیستم، اطلاعاتی شامل حجم داده انتقالی و فاصله زمانی بین پیام ها را از هر کاربرد SSH استخراک می کند. درمرحله دوم، انواع فهالیت ها بر مبنای شباهت اطلاعات از یکدیگر تشخیص داده می شوند. در پایان حملات بااستفاده از قوانین تشخیص نفوذیکه از فرکانس دسترسی ها و خصوصیات ترافیک TCP تولید شده است. کشف می شوند. این سیستم، اطلاعات محرمانه رااستخراج نمی کند. چون تنها با استفاده ازحجم داده انتقالی و فاصله زمانی بین پیام ها به تشخیصنفوذ می پردازد و قبل از شروع کار، به محاسبات زیادی که در روش های مرسوم تحلیل ترافیک رمز شده انجام می گیرد، نیاز ندارد. اما با پیاده سازی سیستم پیشنهادی خود بر روی نرم افزار تشخیص نفوذ Snort و با استفاده از مجموعه داده ارزیابی DARPA نشان خواهیم داد که این سیستم توانایی تشخیص حملات را با دقت بالا دارا می باشد.