طراحی سیستم سخت‌افزاری تشخیص ناهنجاری پرتغییر مبتنی بر sketch جهت تشخیص حملات بزرگ‌ مقیاس

STUDENT

DEGREE

YEAR

: Flow-based anomaly detection is a basic approach to identify large-scale network attacks such as Denial-of-Service (DoS) attack in high-speed computer networks. In this approach instead of packet content, the flows of network traffic are iected. One of the anomaly detection approaches is that big change is detected during data streaming computation. This approach can detect traffic anomalies by deriving a model of normal behavior based on the past traffic history and looking for significant changes in traffic pattern in short time intervals. In the other words, heavy changes often indicate network anomalies or attacks. To deal with the large volume of communication flows, a technique or data structure called sketch used to record and store useful information of the flows for realization heavy change detection. The most important advantage of this data structure is to organize and summarize the huge information in a small amount of memory. Sketch can be implemented in the software or hardware environment. However, software implementation is very easy, hardware implementation guarantees the throughput and efficiency in multi-gigabit network links. Consider to the flexibility and parallelism property of FPGA platform, it makes suitable choice for hardware sketch implementation. In this thesis, three FPGA frameworks based on sketch method has been proposed and implemented to detect heavy changes in the network. The first one, is a fully hardware system to implement K-ary Sketch which is one of the most important sketch for heavy change detection. In the second one, propose a new method for updating and querying to the sketch simultaneously. Since it can omit the delay of attack detection and alert generation, the second method is suitable for real time detection usage. By adding a level of accuracy, the third proposed method has offered a hybrid solution that combines the simultaneous update and query design with an after-interval detection technique. Keywords: Anomaly, Heavy Change Detection, Sketch, Simultaneous Update and Query, FPGA.

تشخیص ناهنجاری مبتنی بر جریان رویکردی اساسی در تشخیص نفوذ و حملات بزرگ‌مقیاس مانند منع سرویس در شبکه‌های کامپیوتری پرسرعت است که بدون نیاز به وارسی محتوای بسته‌ها به تشخیص آن‌ها می‌پردازد. یکی از مهم‌ترین راهکارهای تشخیص ناهنجاری مبتنی بر جریان با استفاده از روش‌های رایانش جویباری، تشخیصِ پرتغییر است. در این راهکار، الگوی ارتباطی مورد انتظار با استفاده از تاریخچه‌ی ترافیک شبکه استخراج می‌شود و تغییرات چشمگیر در بازه‌های کوتاه زمانی در الگوی ارتباطی جریان‌ها، کشف و ردیابی می‌شوند.در مواجهه با تعداد زیاد و حجم انبوه جریان‌های ارتباطی در شبکه‌های پرسرعت، استفاده از ساختار داده‌یsketch برای ثبت و نگهداری اطلاعات مفید جریان‌های شبکه،راه‌حلی کارامد درتحقق راهکار تشخیص پرتغییر به حساب می‌آید. مهم‌ترین مزیت این ساختار داده، امکان سامان‌دهی و خلاصه‌سازی اطلاعات زیاد در حجم حافظه‌ی کم است. انعطاف‌پذیری و امکان موازی‌سازیدر کنار ماهیت sketch، بستر تراشه‌های برنامه‌پذیرFPGAرا گزینه‌ای مناسب برای پیاده‌سازیروش‌های تشخیص ناهنجاری مبتنی بر این ساختار داده کرده است.پیاده‌سازی سخت‌افزاری سیستم‌های تشخیص ناهنجاری مبتنی بر جریان، سرعت و کارایی آن‌ها را در شبکه‌های پرسرعت تضمین می‌کند.در این پایان‌نامه سه طرح تشخیص ناهنجاری مبتنی بر sketch بر اساس معماری FPGA، برای تشخیص بلادرنگ پرتغییر در شبکه‌های پرسرعت ارائه شده‌است. طرح اول با توصیفِ کاملاً سخت‌افزاری ساختار داده‌ی شاخصِk-ary sketch به کاهش تأخیر زمانی در تشخیص پرتغییر نسبت به کارهای مشابه دست یافته‌است. طرح دوم با پیشنهاد روش به‌روزرسانی و پرس‌وجوی همزمان برای تشخیص بلادرنگ، علاوه بر سرعت بالای دریافت بسته، توانسته است تأخیر صدور هشدار را حذف کند. همچنین این طرح می‌تواند راه‌حل جدید و کارایی برای مشکل روش‌هایپیشین در بازیابی کلیدِ جریان پرتغییر محسوب شود. طرح سوم با افزودن یک سطح اطمینان از تشخیص، راهکاری ترکیبی از طرح به‌روزرسانی و پرس‌وجوی همزمان و تشخیص پرتغییر پس از اتمام بازه ارائه داده است. واژگان کلیدی: ناهنجاری، تشخیص پرتغییر، sketch، به‌روزرسانی و پرس‌وجوی همزمان، FPGA.