بررسی و تحلیلالگوریتم های جویباری برایتشخیص حملات بزرگ‌مقیاس

STUDENT

DEGREE

YEAR

Nowadays, with the increasing speed ofcommunication links and generated traffic volume, NetworkIntrusion Detection Systems (NIDSs) encounter new challenges.NIDSs iect all packets to find attacks and abnormalbehaviors. In addition, NIDSs keep the state of each flow toincrease accuracy of detection. Performing packet iection intoday’s high-speed networks is hard, or even impossible andkeeping per flow state is not scalable. Large-scale attacks such asDoS attack usually produce many flows and keeping their staterequires many resources. Consequently, approaches thatinvestigate behavior of communication patterns in flow-level -instead of packet iection - are taken into consideration.Different algorithms and techniques have been proposed forflow-based detection of DoS attacks. Recently, approaches basedon data streaming algorithms have attracted much attention.These algorithms enable the analysis and processing of large datasets by constructing a compact synopsis of input data. Thissynopsis can be used to answer certain queries over the originaldata. Sketch is one of these synopsis structures which differentintrusion detection systems are proposed by using it. Most ofthese proposed approaches have good performance if just oneflow has anomalous characteristics. But if there are severalabnormal flows, sketches encounter difficulties. This paper forthe first time provides a framework to avoid such problems inpresence of several abnormal flows. The proposed frameworkrearranges hash functions in an appropriate data structures andovercomes such problems in presence of several abnormal flows. Keywords: Anomaly Detection, Flow-based Approache, Streaming Algorithms, Reversible Sketch

سیستم‌های تشخیص نفوذ شبکه، از دیرباز به عنوان یکی از خاکریزهای دفاعی در برابر حملات گوناگون مطرح بوده‌اند. با افزایش روزافزون سرعت خطوط ارتباطی و حجم ترافیک تولید شده، این سیستم‌ها با چالش‌های جدیدی روبه‌رو شده‌اند. امروزه، با وجود حجم انبوه ترافیک خطوط پرسرعت، وارسی بسته‌ها عملی غیر ممکن به نظر می‌رسد. به همین دلیل، رویکردهایی مورد توجه قرار گرفته‌اند که بر مبنای دیدهای تجمیع شده‌تری از ترافیک بنا شده‌اند. این رویکردها که از آن‌ها با عنوان رویکرد‌های مبتنی بر جریان نیز یاد می‌شود، الگوهای ارتباطی شبکه را، به جای بسته‌ها، وارسی می‌کنند. الگوریتم‌های جویباری از جمله روش‌هایی هستند که برای مواجهه با انبوه داده‌ها طراحی شده‌اند و معمولا بر مبنای دید تجمیع شده‌ای از داده‌ها، شکل می‌گیرند. این الگوریتم‌ها با یک بار عبور از کل داده، اطلاعات مورد نیاز خود را استخراج و در ساختارداده‌ی خلاصه‌ای ذخیره می‌کنند. سپس به پرس‌وجوهای متفاوتی درباره‌ی داده‌های ورودی پاسخ می‌دهند.Sketchها، از جمله مهم‌ترین ساختارهای خلاصه‌ هستند. در بسیاری از موارد، تشخیص ناهنجاری به معنی تشخیص تغییرات یک رفتار در بازه‌های زمانی متوالی است. برایتشخیص این تغییرات، دسته‌ی مهم Sketchهای معکوس‌پذیر ارائه شده‌اند. اگر فقط یکی از داده‌های ورودی، تغییرات چشمگیری در بازه‌های متوالی داشته باشند، این Sketchها به راحتی قادر به تشخیص این داده خواهند بود. اما اگر داده‌های متعددی دچار تغییر شده باشند، Sketchهای معکوس‌پذیر در تشخیص آن‌ها دچار مشکل خواهند شد. در این پایان‌نامه، راه‌حلی بهینه و جامع برای این مشکل ارائه شدهو در نهایت، راه‌حل پیشنهادی برای تشخیص حمله‌ی منع سرویس مورد استفاده قرار گرفته است. کلمات کلیدی : 1- تشخیص ناهنجاری 2-رویکردهای مبتنی بر جریان 3-الگوریتم‌های جویباری 4-Sketchهای معکوس‌پذیر