ﺷﺒﻜﻪ داده و ﺷ ﻜ ااﻣﻨﻴﺖ ا ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ول 90-91 ل اول ﻲ -ﻧﻴﻤﺴﺎل ﻲ اﻣﻴﻨﻲ ﻣﺮﺗﻀﻲ ﺮ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ http://dnsl.ce.sharif.edu ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ ﻣﻘﺪﻣﻪ و ﺗﻌﺎرﻳﻒ اوﻟﻴﻪ ﻳﺨﭽﻪ ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺗﺎﺗﺎرﻳﺨﭽﻪ ردهﺑﻨﺪي و ﻣﺸﺨﺼﺎت ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﭘﻴﺎدهﺳﺎزي ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﻌﺮﻓﻲ ﭼﻨﺪ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻧﻤﻮﻧﻪ ﻫﺎي ﺗﺸﺨﻴﺺ ذ ﻧﻔﻮذ ﻣﻜﻤﻞ ﺳﻴﺴﺘﻢ ﺎ ﻜ ﻞ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 2 ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ) :(IDﻓﺮآﻳﻨﺪ ﻧﻈﺎرت ﺑﺮ وﻗﺎﻳﻊ رخ داده در ﻳﻚ اﻧﺤﺮاف ازز ﻣﻮارد ﺮ ﺟﻬﺖ ﻛﺸﻒ ﻮ ر ﻛﺎﻣﭙﻴﻮﺗﺮي درر ﻬ ﻢ ﭙ ﻮﺮ ﺷﺒﻜﻪ و ﻳﺎ ﺳﻴﺴﺘﻢ ﺳﻴﺎﺳﺖﻫﺎي اﻣﻨﻴﺘﻲ. ﻗﺎﺑﻠﻴﺖ ﺖ اﻓﺰار ﺎﺑﺎ ﻗﺎ ﻠ ﻳﻚ ﻧﻧﺮماﻓﺰا ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ) :(IDSﻚ ﺳﻴﺴﺘﻢ ﺗﺸﺨ ﺺ ﺳ ﺘ ﺗﺸﺨﻴﺺ ،آﺷﻜﺎرﺳﺎزي و ﭘﺎﺳﺦ )واﻛﻨﺶ( ﺑﻪ ﻓﻌﺎﻟﻴﺖﻫﺎي ﻏﻴﺮﻣﺠﺎز ﻢ. ﺳﻴﺴﺘﻢ ﻳﺎ ﻧﺎﻫﻨﺠﺎر در راﺑﻄﻪ ﺑﺎ ﺳﻴﺴﺘ ﺗﺤﻘﻴﻘﺎت و ﺗﻮﺳﻌﻪ آن از ﺳﺎل 1980ﺑﻪ ﺑﻌﺪ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 3 وﻇﺎﻳﻒ ﻋﻤﻮﻣﻲ ﻳﻚ IDS ﻛﺎرﺑﺮ ﺷﺒﻜﻪ، ﻓﻌﺎﻟﻴﺖ ﺳﻴﺴﺘﻢ و ﻛﺎ ﺘ ﻫﺎي ﺷ ﻜﻪ ﺖﻫﺎ ﺗﺤﻠﻴﻞ ﻓ ﺎﻟ ﻧﻈﺎرت و ﺗ ﻠ ﻞ ﻧﻈﺎ ت ﺑﺮرﺳﻲ ﭘﻴﻜﺮﺑﻨﺪي ﺳﻴﺴﺘﻢ و آﺳﻴﺐﭘﺬﻳﺮيﻫﺎ ارزﻳﺎﺑﻲ ﺻﺤﺖ ﺳﻴﺴﺘﻢ و ﻓﺎﻳﻞﻫﺎي دادهاي ﺣﺴﺎس ﺗﺸﺨﻴﺺ اﻟﮕﻮﻫﺎي ﻣﻨﻄﺒﻖ ﺑﺎ ﺣﻤﻼت ﺷﻨﺎﺧﺘﻪ ﺷﺪه ﺗﺤﻠﻴﻞ آﻣﺎري اﻟﮕﻮﻫﺎي ﻓﻌﺎﻟﻴﺖ ﻧﺎﻫﻨﺠﺎر در ﺑﻌﻀﻲ ﻣﻮارد: ﻧﺼﺐ ﺧﻮدﻛﺎر وﺻﻠﻪﻫﺎي ﻧﺮماﻓﺰاري اراﺋﻪ ﺷﺪه ﻧﺼﺐ و اﺟﺮاي ﻛﺎرﮔﺰاران ﺗﻠﻪﻋﺴﻞ ﺑﺮاي ﻛﺴﺐ اﻃﻼﻋﺎت ﺑﻴﺸﺘﺮ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 4 ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ دﻻﻳﻞ اﺳﺘﻔﺎده از ﺳﻴﺴﺘﻢﻫﺎي ﺟﻠﻮﮔﻴﺮي از رﻓﺘﺎرﻫﺎي ﻣﺸﻜﻞزا ﺑﺎ ﻣﺸﺎﻫﺪه ﺧﻄﺮات ﻛﺸﻒ ﺷﺪه ﺣﻤﻼت ﻣﻘﺪﻣﺎت ﻼ ﺎ ﻣﻘﺎﺑﻠﻪ ﺑﺎﺎ ﺗﺸﺨﻴﺺ و ﺎ ﻠ ﺛﺒﺖ ﺗﻬﺪﻳﺪات ﻣﻮﺟﻮد ﺑﺮاي ﻳﻚ ﺳﺎزﻣﺎن اﻃﻼﻋﺎت ﻣﻔﻴﺪي درﺑﺎره ﺗﻬﺎﺟﻤﺎت و ﻧﻔﻮذﻫﺎﻳﻲ ﻛﻪ واﻗﻊ ﻣﻲﺷﻮﻧﺪ، اراﺋﻪ ﻣﻲدﻫﺪ و اﻣﻜﺎن ﻋﻴﺐﻳﺎﺑﻲ ،ﻛﺸﻒ ،و ﺗﺼﺤﻴﺢ ﻋﺎﻣﻞﻫﺎي ﺳﺒﺐ ﻓﺮاﻫﻢ ﻣﻲﻛﻛﻨﺪ. ﺷﻮﻧﺪه ارا ا ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 5 ﻫﺪف IDS ﺣﺴﺎﺑﺮﺳﻲ :ﻗﺎﺑﻠﻴﺖ ارﺗﺒﺎط دادن ﻳﻚ واﻗﻌﻪ ﺑﻪ ﺷﺨﺺ ﻣﺴﺌﻮل آن واﻗﻌﻪ ﻲ( ﻲ و رردﻳﺎﺑﻲ ﺰمﻫﺎي ﺷﻨﺎﺳﺎﻳﻲ ﻧﻴﺎزﻣﻨﺪ ﻣﻜﺎﻧﻴﺰم ) ز ﭘﺎﺳﺨﮕﻮﻳﻲ )واﻛﻨﺶ( :ﻗﺎﺑﻠﻴﺖ ﺷﻨﺎﺧﺖ ﺣﻤﻠﻪ و ﺳﭙﺲ اﻧﺠﺎم ﻋﻤﻠﻲ ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﻳﺎ ﺗﻮﻗﻒ آن )و ﭘﻴﺸﮕﻴﺮي از ﺗﻜﺮار آن( ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 6 ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ ﻣﻘﺪﻣﻪ و ﺗﻌﺎرﻳﻒ اوﻟﻴﻪ ﺗﺎرﻳﺨﭽﻪ ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ردهﺑﻨﺪي و ﻣﺸﺨﺼﺎت ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﭘﻴﺎدهﺳﺎزي ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﻌﺮﻓﻲ ﭼﻨﺪ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻧﻤﻮﻧﻪ ﻫﺎي ﺗﺸﺨﻴﺺ ذ ﻧﻔﻮذ ﻣﻜﻤﻞ ﺳﻴﺴﺘﻢ ﺎ ﻜ ﻞ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 7 ﺗﺎرﻳﺨﭽﻪ ﺗﺎرﻳﺨﻲ از وﻗﺎﻳﻊ ﺳﻴﺴﺘﻢ ﻣﻤﻴﺰي :ﻓﺮاﻳﻨﺪ ﺗﻮﻟﻴﺪ ،ﺛﺒﺖ و ﻣﺮور ﻳﻚ ﺳﺎﺑﻘﻪ ﺗﺎرﻳﺨ )اواﺧﺮ دﻫﻪ 70و اواﻳﻞ دﻫﻪ ( 80 ﺮوز ﺧﻄﺎ ﻊ ﺑﺮوز ﻣﻮﻗﻊ در ﻮ ﺗﺮﻣﻴﻢ ر ﺮ ﻢ ﺑﺎزﺳﺎزي وﻗﺎﻳﻊ ﺳﻴﺴﺘﻢ ﻛﺸﻒ ﺳﻮء اﺳﺘﻔﺎدهﻫﺎ اﻃﻼﻋﺎت ﺛﺒﺖ ﺷﺪه زﻣﺎن و ﺗﺎرﻳﺦ روﻳﺪاد ﺷﻨﺎﺳﻪ ﻛﺎرﺑﺮ اﻳﺠﺎد ﻛﻨﻨﺪه آن روﻳﺪاد )اﻳﻦ ﺷﻨﺎﺳﻪ ﺑﺎﻳﺪ ﺑﺮاي ﻫﺮ ﻛﺎرﺑﺮ ﻳﻜﺘﺎ ﺑﺎﺷﺪ( روﻳﺪاد ﻳﺎ ﺣﺎدﺛﻪ ﻧﻮع ﻳﺪاد ﻧع ﻣﻮﻓﻘﻴﺖ ﻳﺎ ﺷﻜﺴﺖ آن روﻳﺪاد ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 8 ﺗﺎرﻳﺨﭽﻪ – ﻧﺴﻞ اول 1980 ﺳﻴﺴﺘﻢﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻴﺰﺑﺎن ﺗﺤﻠﻴﻞ ﻞ ﻋﺎﻣﻞ ﺟﻬﺖ ﻠ ﺳﻄﺢ ﺳﻴﺴﺘﻢ ﺎ ﻞ ﻫﺎ در ﻄ داده ﺎ ﺟﻤﻊآآوري ا ﭘﻴﺪاﻳﺶ ﻣﻔﻬﻮم ﻧﺎﻫﻨﺠﺎري ) (anomalyو ﺳﻮءاﺳﺘﻔﺎده )(misuse ﻣﺜﺎل :ﺳﻴﺴﺘﻢ IDES ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 9 ﺗﺎرﻳﺨﭽﻪ – ﻧﺴﻞ اول ﺗﺸﺨﻴﺺ ﻧﺎﻫﻨﺠﺎري :ﺗﻮﻟﻴﺪ ﻧﻤﺎﻳﻪ ﺑﺮاي ﻫﺮ ﻛﺎرﺑﺮ ﺑﺮ اﺳﺎس وﻳﮋﮔﻲﻫﺎ )ﻧﺮخ ﺗﺎﻳﭗ ،ﻣﺪت ﻧﺸﺴﺖ ،ﺗﻌﺪاد ﻓﺎﻳﻞﻫﺎي ﺑﺎز ﺷﺪه ،ﻓﺮﻣﺎنﻫﺎي ﺷﺪه و ( (... ﺻﺎدر ﺷ ﺎ ﺗﺸﺨﻴﺺ ﺳﻮءاﺳﺘﻔﺎده :ﺷﻨﺎﺧﺖ ﻧﻘﺎط آﺳﻴﺐﭘﺬﻳﺮ ﺳﻴﺴﺘﻢ ﻲ ازز رراه دور ور دﺳﺘﺮﺳﻲ ﺮ ﻗﺎﺑﻠﻴﺖ اﻓﺰاﻳﺶ ﺑ ﻴ ﻛﺎﻣﭙﻴﻮﺗﺮي و ﺰ ﻳﺶ ي ﭙﻴﻮ ﺮي ﺷﺒﻜﻪﻫﺎي ﻬﻮر ﺒ ﻇﻬﻮر ﺷﺒﻜﻪااي ﻧﻔﻮذﻫﺎي ﺷ ﻜ ﺣﻤﻼت و ﻔ ذ ﺎ ﭘﻴﺪاﻳﺶ ﻼ ا ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 10 ﺗﺎرﻳﺨﭽﻪ – ﻧﺴﻞ دوم 1990 ﺳﻴﺴﺘﻢﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ ﺷﺒﻜﻪ ﺷﺒﻜﻪ ﻚ ﻜ ﺗﺮاﻓﻴﻚ ﻫﺎ ااز اﻓ داده ﺎ ﺟﻤﻊآآوري ا ﺗﺸﺨﻴﺺ ﻧﺎﻫﻨﺠﺎري :اﺳﺘﺨﺮاج وﻳﮋﮔﻲﻫﺎي ﺗﺮاﻓﻴﻚ ﻋﺎدي در ﺷﺒﻜﻪ ﺗﺸﺨﻴﺺ ﺳﻮء اﺳﺘﻔﺎده :ﺷﻨﺎﺧﺖ ﺣﻤﻼت ﺷﺒﻜﻪ و ﺗﺎﺛﻴﺮ آﻧﻬﺎ ﺑﺮ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ رﺷﺪ و ﺗﻮﺳﻌﻪ اﻳﻨﺘﺮﻧﺖ و ﺳﻴﺴﺘﻢﻫﺎي ﺑﺎز ﻣﺜﺎلNSM : ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 11 ﺗﺎرﻳﺨﭽﻪ – ﻧﺴﻞ ﺳﻮم ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻨﺎﺑﻊ ﻧﺎﻫﻤﮕﻮن ﺟﻤﻊ آوري دادهﻫﺎ ﻫﻢ از ﻣﻴﺰﺑﺎن و ﻫﻢ از ﺷﺒﻜﻪ ﻣﻌﻤﺎري ﺗﻮزﻳﻊﺷﺪه )در ﺟﻤﻊآوري و ﺗﺤﻠﻴﻞ( ﺳﻴﺴﺘﻢﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ ﻋﺎﻣﻞ )(Agent ﻣﺜﺎل DIDS ،AAFID :و EMERALD ﻛﺎرﺑﺮدي ﺗﺠﺎري و ﻛﺎ ﻣﺤﺼﻮﻻت ﺗ ﺎ ﻻ ﻇﻇﻬﻮر ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 12 ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ ﻣﻘﺪﻣﻪ و ﺗﻌﺎرﻳﻒ اوﻟﻴﻪ ﻳﺨﭽﻪ ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺗﺎﺗﺎرﻳﺨﭽﻪ ردهﺑﻨﺪي و ﻣﺸﺨﺼﺎت ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﭘﻴﺎدهﺳﺎزي ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﻌﺮﻓﻲ ﭼﻨﺪ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻧﻤﻮﻧﻪ ﻫﺎي ﺗﺸﺨﻴﺺ ذ ﻧﻔﻮذ ﻣﻜﻤﻞ ﺳﻴﺴﺘﻢ ﺎ ﻜ ﻞ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 13 آراﻳﺶ ﻗﺮارﮔﻴﺮي IDSدر ﺷﺒﻜﻪ ﺑﻴﺮوﻧﻲ ﻲ ﺷﺒﻜﻪ ﺑﻴﺮو IDSﺒ S IDSﺷﺒﻜﻪ داﺧﻠﻲ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 14 ﻣﻌﻤﺎري ﻳﻚ IDS ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ روﻳﺪادﻧﺎﻣﻪ ﻫﺎ ﻓﺮاﻫﻢﻛﻨﻨﺪه دادهﻫﺎ ﭘﻴﺶﭘﺮدازﻧﺪه )(Data Provider )(Preprocessor رﻓﺘﺎرﻫﺎي ﻠﻪ ﻳﺎﺎ ﻧ ﺎل ﻧﺮﻣﺎل ﺣﻤﻠﻪ ﭘﺎﺳﺦدﻫﻲ ﻣﻮﺗﻮر ﺗﺤﻠﻴﻞ و ﺗﺸﺨﻴﺺ )(Response )(Analysis & Detection Engine ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 15 ﺳﻴﺴﺘﻢﻫﺎي ردهﺑﻨﺪي رده ﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺑﻨﺪي ﻛﻠﻲ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﺳﻮءاﺳﺘﻔﺎده ﺗﺸﺨ ﺺ روش ﺗﺤﻠﻴﻞ ﺗﺸﺨﻴﺺ ﻧﺎﻫﻨﺠﺎري ﻣﺒﺘﻨﻲ ﺑﺮ ﺑﺮﻧﺎﻣﻪ ﻛﺎرﺑﺮدي ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻴﺰﺑﺎن ﻣﺒﺘﻨﻲ ﺑﺮ ﺷﺒﻜﻪ ﻣﻨﺒﻊ اﻃﻼﻋﺎت ﻓﻌﺎل ﻣﻨﻔﻌﻞ واﻛﻨﺶ ﺑﻪ ﻧﻔﻮذ ﺑﻼدرﻧﮓ ﮓ ﻼ دورهاي زﻣﺎﻧﺒﻨﺪي ﺗﺤﻠﻴﻞ ﻣﺘﻤﺮﻛﺰﺰ ﺮ ﺳﻴﺴﺘﻢ ﺘ ﻣﻌﻤﺎري ﺎ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺗﻮزﻳﻊﺷﺪه ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 16 ﺟﻤﻊآوري اﻃﻼﻋﺎت ﺟﻤﻊآوري ﻋﻤﻠﻴﺎت ﺟﻤﻊآوري داده از ﻳﻚ ﻣﻨﺒﻊ اﻃﻼﻋﺎﺗﻲ و ﺗﺤﻮﻳﻞ آﻧﻬﺎ ﺑﻪ ﻮر ﺗﺤﻠﻴﻞ ﻴﻞ ﻣﻮﺗﻮر ﭘﺮدازﻧﺪه و ﻮ ﭘﻴﺶﭘﺮ ز • ﻣﺒﺘﻨﻲ ﺑﺮ ﺷﺒﻜﻪ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ • ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻴﺰﺑﺎن دﻧﺒﺎﻟﻪﻫﺎي ﻣﻤﻴﺰي ﺳﻴﺴﺘﻢﻋﺎﻣﻞ ،روﻳﺪادﻧﺎﻣﻪﻫﺎ • ﻣﺒﺘﻨﻲ ﺑﺮ ﺑﺮﻧﺎﻣﻪ ﻛﺎرﺑﺮدي روﻳﺪادﻧﺎﻣﻪ ﭘﺎﻳﮕﺎهدادهﻫﺎ ،روﻳﺪادﻧﺎﻣﻪ ﻛﺎرﮔﺰار وب ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 17 ﺟﻤﻊآوري اﻃﻼﻋﺎت )اداﻣﻪ( ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﺒﺘﻨﻲ ﺑﺮ ﺷﺒﻜﻪ ﻣﺰاﻳﺎ: ﻗﺎﺑﻠﻴﺖ ﻧﻈﺎرت ﺑﺮ ﻳﻚ ﺷﺒﻜﻪ ﺑﺰرگ ﻋﺪم ﺗﺪاﺧﻞ ﺑﺎ ﻋﻤﻠﻜﺮد ﻣﻌﻤﻮﻟﻲ ﺷﺒﻜﻪ ﻗﺎﺑﻠﻴﺖ ﻣﺨﻔﻲ ﻧﮕﻪداﺷﺘﻪ ﺷﺪن از دﻳﺪ ﻣﻬﺎﺟﻤﺎن ﻣﻌﺎﻳﺐ: ﻋﺪم ﻋﻤﻠﻜﺮد ﺻﺤﻴﺢ در ﺗﺮاﻓﻴﻚ ﺳﻨﮕﻴﻦ ﻲ در ﺗﺤﻠﻴﻞ اﻃﻼﻋﺎت رﻣﺰ ﺷﺪه )ﻣﺎﻧﻨﺪ (VPN ﻋﺪمم ﺗﻮاﻧﺎﻳﻲ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 18 ﺟﻤﻊآوري اﻃﻼﻋﺎت )اداﻣﻪ( ﻧﻈﺎرت ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻴﺰﺑﺎن ﻣﺰاﻳﺎ: ﻛﺸﻒ ﺣﻤﻼﺗﻲ ﻛﻪ از ﻃﺮﻳﻖ ﺷﺒﻜﻪ ﻗﺎﺑﻞ ﺷﻨﺎﺳﺎﻳﻲ ﻧﻴﺴﺘﻨﺪ. ﻗﺎﺑﻠﻴﺖ ﻋﻤﻞ در ﻣﺤﻴﻄﻲ ﻛﻪ ﺗﺮاﻓﻴﻚ ﺷﺒﻜﻪ در آن رﻣﺰ ﺷﺪه ﻣﻌﺎﻳﺐ: اﻣﻜﺎن ﻏﻴﺮﻓﻌﺎل ﺷﺪن ﺳﻴﺴﺘﻢ در ﺑﺨﺸﻲ از ﺣﻤﻠﻪ ﻧﻴﺎز ﺑﻪ اﻧﺒﺎره زﻳﺎد ﺑﺮاي ذﺧﻴﺮه اﻃﻼﻋﺎت ﺳﺮﺑﺎر ﻣﺤﺎﺳﺒﺎﺗﻲ ﺑﺮاي ﻣﻴﺰﺑﺎن ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 19 زﻣﺎﻧﺒﻨﺪي ﺗﺤﻠﻴﻞ زﻣﺎﻧﺒﻨﺪي) :(Timingﻓﺎﺻﻠﻪ زﻣﺎﻧﻲ ﺑﻴﻦ رﺧﺪاد وﻗﺎﻳﻊ در ﻣﻨﺒﻊ ﻮر ﺗﺤﻠﻴﻞ ﻴﻞ ﻣﻮﺗﻮر ﺗﻮﺳﻂ ﻮ آﻧﻬﺎ ﻮ ﻴﻞ آ ﻬ ت ﺗﺎ ﺗﺤﻠﻴﻞ اﻃﻼﻋﺎت ا ﻼ زﻣﺎﻧﺒﻨﺪي دﺳﺘﻪاي ﻳﺎ دوره اي )(Batch ﻛﺸﻒ ﻧﻔﻮذ ﭘﺲ از وﻗﻮع ،ﻋﺪم اﻣﻜﺎن ﭘﺎﺳﺦﮔﻮﻳﻲ ﻓﻌﺎل ﺑﻼدرﻧﮓ )(Real‐time زﻣﺎنﺑﻨﺪي ﺑﻼد ﻧﮓ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺑﻪ ﻣﺤﺾ وﻗﻮع و ﻳﺎ ﺣﺘﻲ ﻗﺒﻞ از آن ،وﺟﻮد اﻣﻜﺎن ﻓﻌﺎل و ﭘﻴﺶﮔﮔﻴﺮي ااز ﻧﻔ ذ ﻧﻔﻮذ ﺦﮔﮔﻮﻳﻲ ﻓ ﺎل ﺎﭘﺎﺳﺦ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 20 ﺗﺤﻠﻴﻞ و ﺗﺸﺨﻴﺺ ﺳﺎزﻣﺎندﻫﻲ اﻃﻼﻋﺎت و ﺟﺴﺘﺠﻮي ﻋﻼﺋﻢ اﻣﻨﻴﺘﻲ • ﺗﺸﺨﻴﺺ ﺳﻮء اﺳﺘﻔﺎده • ﻧﺎﻫﻨﺠﺎري ﺗﺸﺨﻴﺺ ﻧﺎﻫﻨ ﺎ ﺗﺸﺨ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 ﺣﻤﻠﻪ ﻋﻼﺋﻢ ﻠ ﻼ ﺎل ﻏﻴﺮﻧﺮﻣﺎل رﻓﺘﺎر ﻏ ﻓﺎ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 21 ﺗﺤﻠﻴﻞ و ﺗﺸﺨﻴﺺ )ﺗﺸﺨﻴﺺ ﺳﻮء اﺳﺘﻔﺎده( ﻣﺸﺨﺼﺎت ﺷﻨﺎﺧﺖ ﺣﻤﻼت ﻣﻮﺟﻮد ﺗﻌﺮﻳﻒ اﻟﮕﻮي ﺣﻤﻼت ﺑﺮاي ﻣﻮﺗﻮر ﺗﺤﻠﻴﻞ ﺟﺴﺘﺠﻮي ﻣﺠﻤﻮﻋﻪاي از وﻗﺎﻳﻊ ﻛﻪ ﺑﺎ ﻳﻚ اﻟﮕﻮي از ﭘﻴﺶ ﺗﻌﺮﻳﻒ ﺷﺪه ﻣﻄﺎﺑﻘﺖ دارد. ﻧﻴﺎز ﺑﻪ ﺑﺮوزرﺳﺎﻧﻲ اﻟﮕﻮﻫﺎي ﺣﻤﻠﻪ ﮔﺬار روﺷﻬﺎي ﻣﺒﺘﻨﻲ ﺑﺮ ﮔ ا ﺎ ﺳﺎزي :ﺳﻴﺴﺘﻢ ﺧﺒﺮه، ﭘﻴﺎده ﺎ روﺷﻬﺎي ﺎ ﺎ ﺣﺎﻻت و ... ﻛﺎرﺑﺮد در ﺳﻴﺴﺘﻢﻫﺎي ﺗﺠﺎري IDS ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 22 ﺗﺤﻠﻴﻞ و ﺗﺸﺨﻴﺺ )ﺗﺸﺨﻴﺺ ﻧﺎﻫﻨﺠﺎري( ﻣﺸﺨﺼﺎت ﺷﻨﺎﺧﺖ ﻋﻤﻠﻜﺮد ﻧﺮﻣﺎل ﺳﻴﺴﺘﻢ ﺗﻬﻴﻪ ﻧﻤﺎﻳﻪﻫﺎﻳﻲ از رﻓﺘﺎر ﻧﺮﻣﺎل ﺳﻴﺴﺘﻢ ﺑﺮاي ﻣﻮﺗﻮر ﺗﺤﻠﻴﻞ ﺟﺴﺘﺠﻮي ﻓﻌﺎﻟﻴﺖ ﻏﻴﺮﻧﺮﻣﺎل ﺖ؟ ل ﻳﻳﻚ ﺣﻤﻠﻪ اﺳﺖ ﻧﺮﻣﺎل ﻴﺮ ﺮ رﻓﺘﺎر ﻏﻴﺮ آﻳﺎ ﻫﺮﺮ ر ر ﻳ روﺷﻬﺎي ﭘﻴﺎدهﺳﺎزي :روﺷﻬﺎي آﻣﺎري ،ﺷﺒﻜﻪﻫﺎي ﻋﺼﺒﻲ و ... ﻛﺎرﺑﺮدي ﺗﺤﻘﻴﻘﺎﺗﻲ ﺎﺗﺎ ﺎ ﺎ ﻫﺎي ﺑﻴﺸﺘﺮ ﺟﻨﺒﻪ ﺎ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 23 ﺗﺤﻠﻴﻞ و ﺗﺸﺨﻴﺺ )ﻣﻘﺎﻳﺴﻪ( ﻧﺎﻫﻨﺠﺎري ﺳﻮءاﺳﺘﻔﺎده ﺗﺸﺨﻴﺺ ﺎ ﺎ ﺗﺸﺨﻴﺺ ا ﺎ Anomaly Detection Misuse Detection ﺗﺸﺨﻴﺺ ﻓﻘﻂ در ﺣﺪ ﺣﻤﻼت ﺷﻨﺎﺧﺘﻪ ﺷﺪه ﺗﺸﺨﻴﺺ ﺳﺮﻳﻊ و ﻣﻄﻤﺌﻦ ﺑﺎ ﺧﻄﺎي ﻛﻤﺘﺮ ﺗﺸﺨﻴﺺ ﺣﻤﻼت ﻧﺎﺷﻨﺎﺧﺘﻪ ﺑﺎﻻﺑﻮدن درﺻﺪ ﺧﻄﺎي ﻣﺜﺒﺖ ﻏﻠﻂ ﻣﺜﺒﺖ ﻏﻠﻂ :ﺗﺸﺨﻴﺺ ﻧﺎدرﺳﺖ ﻧﺮﻣﺎل ﺑﻪ ﺣﻤﻠﻪ )ﺣﻤﻠﻪ ﺗﺸﺨﻴﺺ داده ﺷﺪه وﻟﻲ ﻧﺮﻣﺎل اﺳﺖ( ﻣﻨﻔﻲ ﻏﻠﻂ :ﺗﺸﺨﻴﺺ ﻧﺎدرﺳﺖ ﺣﻤﻠﻪ ﺑﻪ ﻧﺮﻣﺎل )ﻧﺮﻣﺎل ﺗﺸﺨﻴﺺ داده ﺷﺪه وﻟﻲ ﺣﻤﻠﻪ اﺳﺖ( ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 24 ﺗﺤﻠﻴﻞ و ﺗﺸﺨﻴﺺ )ﺗﺮﻛﻴﺐ( ﺗﺮﻛﻴﺒﻲ ﻧﻤﺎي ﻳﻚ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺗﺮﻛﻴﺒ ﻣﻨﺒﻊ اﻃﻼﻋﺎت ﺗﺸﺨﻴﺺدﻫﻨﺪه ﺳﻮءاﺳﺘﻔﺎده ﺗﺸﺨﻴﺺدﻫﻨﺪه ﻧﺎﻫﻨﺠﺎري )ﻣﻮﺗﻮر اﻧﻄﺒﺎق اﻟﮕﻮ( )ﻣﻮﺗﻮر ﭘﺮوﻓﺎﻳﻞ( ﭘﺎﺳﺦدﻫﻨﺪه ﭘﺮوﻓﺎﻳﻞﻫﺎ ﻓﺎ ﻞ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ اﻟﮕﻮي ﺣﻤﻼت ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 25 واﻛﻨﺶ ﺑﻪ ﻧﻔﻮذ ﻓﻌﺎل ) :(Activeاﻧﺠﺎم ﺑﺮﺧﻲ اﻋﻤﺎل واﻛﻨﺸﻲ ﺑﻪ ﺻﻮرت ﺧﻮدﻛﺎر ﻣﻬﺎﺟﻢ ﺟﻢ ﻋﻠﻴﻪ ﻬ ﻲ ﻴ اﻧﺠﺎمم ﻋﻤﻠﻲ ﺠ ﺟﻤﻊآوري اﻃﻼﻋﺎت ﺑﻴﺸﺘﺮ ﺳﻴﺴﺘﻢ ﺟﻠﻮﮔﻴﺮي از ﻧﻔﻮذ )(IPS آﻧﻬﺎ ﺶ ﺑﺑﻪ ﻬ ري وواﻛﻨﺶ ن و وواﮔﺬاري ﻣﺪﻳﺮان رش ﺑﺑﻪ ﻳﺮ ﮔﺰارش ﻞ ) :((Passiveﺰ ﻣﻨﻔﻌﻞ ﻧﻤﺎﻳﺶ ﭘﻴﻐﺎم ﺑﺮ روي ﺻﻔﺤﻪ ارﺳﺎل ﭘﺴﺖ اﻟﻜﺘﺮوﻧﻴﻜﻲ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 26 ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ ﻣﻘﺪﻣﻪ و ﺗﻌﺎرﻳﻒ اوﻟﻴﻪ ﻳﺨﭽﻪ ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺗﺎﺗﺎرﻳﺨﭽﻪ ردهﺑﻨﺪي و ﻣﺸﺨﺼﺎت ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﭘﻴﺎدهﺳﺎزي ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﻌﺮﻓﻲ ﭼﻨﺪ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻧﻤﻮﻧﻪ ﻫﺎي ﺗﺸﺨﻴﺺ ذ ﻧﻔﻮذ ﻣﻜﻤﻞ ﺳﻴﺴﺘﻢ ﺎ ﻜ ﻞ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 27 روﺷﻬﺎي ﭘﻴﺎدهﺳﺎزي ﺗﺸﺨﻴﺺ ﺳﻮءاﺳﺘﻔﺎده ﺳﻴﺴﺘﻢ ﺧﺒﺮه ﻣﻜﺎﻧﻴﺰﻣﻲ ﺑﺮاي ﭘﺮدازش ﺣﻘﺎﻳﻖ و ﻣﺸﺘﻖ ﻛﺮدن ﻧﺘﺎﻳﺞ ﻣﻨﻄﻘﻲ از اﻳﻦ ﺣﻘﺎﻳﻖ ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ زﻧﺠﻴﺮهاي از ﻗﻮاﻋﺪ ﻗﻮاﻋﺪ اﻟﮕﻮﻫﺎ ﻳﺎ ﺳﻨﺎرﻳﻮﻫﺎي ﻧﻔﻮذ ﺣﻘﺎﻳﻖ وﻗﺎﻳﻊ رخداده در ﺳﻴﺴﺘﻢ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 28 ﭘﻴﺎدهﺳﺎزي روشﻫﺎي ﭘﻴﺎده ﺳﺎزي ﺗﺸﺨﻴﺺ ﺳﻮءاﺳﺘﻔﺎده روشﻫﺎي ﻣﺰاﻳﺎ ﻧﺤﻮه ﺘﻦ ﻧﺤ داﻧﺴﺘﻦ ﺎز ﺑﻪﻪ داﻧ ن ﻧﻧﻴﺎز ﺑﺪون ﻛﺎرﺑﺮ ﺪ ﻂ ﻛﺎ اﻋﺪ ﺗﺗﻮﺳﻂ ﻗﺎﻟﺐ ﻗﻗﻮاﻋﺪ ﻼت ددر ﻗﺎﻟ اﺋﻪ ﺣﻤﻼت ااراﺋﻪ ﻋﻤﻠﻜﺮد ﺳﻴﺴﺘﻢ ﺧﺒﺮه اﻣﻜﺎن اﺿﺎﻓﻪ ﻛﺮدن ﻗﻮاﻋﺪ ﺟﺪﻳﺪ ﺑﺪون ﺗﻐﻴﻴﺮ ﻗﻮاﻋﺪ ﻗﺒﻠﻲ ﻳﺐ ﻣﻌﺎﻳﺐ ﻛﺎرآﻳﻲ ﭘﺎﻳﻴﻦ ،ﻧﺎﻣﻨﺎﺳﺐ ﺑﺮاي ﺣﺠﻢ زﻳﺎد دادهﻫﺎ ﻧﺎﻣﻨﺎﺳﺐ ﺑﺮاي ﺑﻴﺎن ﺗﺮﺗﻴﺐ در ﻗﻮاﻋﺪ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 29 ﭘﻴﺎدهﺳﺎزي روشﻫﺎي ﭘﻴﺎده ﺳﺎزي ﺗﺸﺨﻴﺺ ﺳﻮءاﺳﺘﻔﺎده روشﻫﺎي روشﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ ﮔﺬار ﺣﺎﻟﺖ • اﺳﺘﻔﺎده از ﻣﻔﻬﻮم ﺣﺎﻟﺖ ﺳﻴﺴﺘﻢ وﮔﺬار • اﻧﻄﺒﺎق اﻟﮕﻮﻮ ﻫﺎي ﺒ ق ﺗﻜﻨﻴﻚ ي اﺳﺘﻔﺎده زاز ﻴ • ﺳﺮﻋﺖ و ﻗﺎﺑﻠﻴﺖ اﻟﮕﻮي ﺣﻤﻠﻪ : ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 ﺣﺎﻟﺖ اﻣﻦ اوﻟﻴﻪ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻋﻤﻠﻴﺎت ﻛﻠﻴﺪي ﺣﺎﻟﺖ ﺧﻄﺮﻧﺎك ﻧﻬﺎﻳﻲ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 30 ﭘﻴﺎدهﺳﺎزي روشﻫﺎي ﭘﻴﺎده ﺳﺎزي ﺗﺸﺨﻴﺺ ﻧﺎﻫﻨﺠﺎري روشﻫﺎي روشﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎرﺑﺮ ﻛﺎرﺑﺮان ﺎل ﻛﺎ ا رﻓﺘﺎر ﻧﻧﺮﻣﺎل ﻧﻤﺎﻳﻪ ااز ﻓ ﺎ ﺗﻮﻟﻴﺪ ﻧ ﺎ ﺗ ﻟ -ﻣﻘﺎﻳﺴﻪ رﻓﺘﺎر واﻗﻌﻲ ﻛﺎرﺑﺮان ﺑﺎ ﻧﻤﺎﻳﻪﻫﺎ و ﻳﺎﻓﺘﻦ رﻓﺘﺎرﻫﺎي ﻏﻴﺮﻧﺮﻣﺎل روشﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ ﭘﺮدازه ﺑﻴﺎن رﻓﺘﺎر ﻧﺮﻣﺎل ﭘﺮدازهﻫﺎ ﺑﺎ رﺷﺘﻪاي از ﻓﺮاﺧﻮاﻧﻲﻫﺎي ﺳﻴﺴﺘﻤﻲ -ﻧﻈﺎرت ﺑﺮ رﻓﺘﺎر واﻗﻌﻲ ﭘﺮدازه و ﻳﺎﻓﺘﻦ رﻓﺘﺎرﻫﺎي ﻏﻴﺮﻧﺮﻣﺎل ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 31 روشﻫﺎي ﭘﻴﺎدهﺳﺎزي ﺗﺸﺨﻴﺺ ﻧﺎﻫﻨﺠﺎري ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎ ﺘﻨ ﻛﺎرﺑﺮ ﺗﺤﻠﻴﻞ ﻛﻤﻲ :ﺑﻴﺎن ﻧﻤﺎﻳﻪ ﺑﺎ ﻣﻌﻴﺎرﻫﺎي ﻋﺪدي ﺗﻌﺪاد ﻣﺠﺎز ورود ﻧﺎﻣﻮﻓﻖ ﺑﺮاي ﻛﺎرﺑﺮ n ،Aاﺳﺖ. ﺗﺤﻠﻴﻞ آﻣﺎري :ﺑﻴﺎن ﻧﻤﺎﻳﻪ ﺑﺎ ﻣﻌﻴﺎرﻫﺎي آﻣﺎري ورودﻫﺎي ﻧﺎﻣﻮﻓﻖ ﺑﺮاي ﻛﺎرﺑﺮ Aﺗﺎﺑﻊ ﺗﻮزﻳﻊ ﻧﺮﻣﺎل aاﺳﺖ. Haystack ،NIDES ،IDES ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 32 روشﻫﺎي ﭘﻴﺎدهﺳﺎزي ﺗﺸﺨﻴﺺ ﻧﺎﻫﻨﺠﺎري ﻣﺒﺘﻨﻲ ﺑﺮ ﻛﺎ ﻨ ﻛﺎرﺑﺮ روشﻫﺎي ﻣﺒﺘﻨﻲ ﺑﺮ ﻗﺎﻋﺪه :ﺑﻴﺎن ﻣﻌﻴﺎرﻫﺎي آﻣﺎري ﺑﺎ ﻣﺠﻤﻮﻋﻪاي از ﻗاﺪ ﻗﻮاﻋﺪ اﺳﺘﻔﺎده از ﺳﻴﺴﺘﻢ ﺧﺒﺮه ﺑﺮاي ﺑﻴﺎن ﻧﻤﺎﻳﻪﻫﺎ ﺷﺒﻜﻪﻫﺎي ﻋﺼﺒﻲ :اﺳﺘﺨﺮاج ﻧﻤﺎﻳﻪ از ﺳﺎﺑﻘﻪ ﺳﻴﺴﺘﻢ اﻟﮕﻮرﻳﺘﻢ ژﻧﺘﻴﻚ :ﺗﻌﺮﻳﻒ ﺑﺮدار ﻓﺮﺿﻲ )ﻧﻔﻮذ ﻳﺎ ﻋﺪمﻧﻔﻮذ( ﺑﺮاي واﻗﻌﻪ، ﺑﻬﺒﻮد ﻓﺮض ﺮض ﻼح و ﺑﻬﺒﻮ ﻓﺮض ،اﺻﻼح اﻋﺘﺒﺎرر ﺮض ﻮن ﺒ آزﻣﻮن ز ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 33 روشﻫﺎي ﭘﻴﺎدهﺳﺎزي ﺗﺸﺨﻴﺺ ﻧﺎﻫﻨﺠﺎري ﻣﺒﺘﻨﻲ ﺑﺮ داز ﺘﻨ ﭘﺮدازه روش ﺳﻴﺴﺘﻢ اﻳﻤﻨﻲ ﺑﻴﺎن رﻓﺘﺎر ﻧﺮﻣﺎل ﭘﺮدازه ﺑﺎ ﺗﺮﺗﻴﺐ زﻣﺎﻧﻲ ﺑﻴﻦ ﻓﺮاﺧﻮاﻧﻲﻫﺎ ﻧﻪ ﻓﺮاواﻧﻲ ﻳﺎ ﺗﻮزﻳﻊ و ﻳﺎ اﻫﻤﻴﺖ آﻧﻬﺎ دادهﻛﺎوي ﺑﺮاي آﻧﻬﺎ ا اﺳﺘﻔﺎده ااز آ ﺎ ﭘﺮدازه و ا ﺎ ﺎل ا رﻓﺘﺎر ﻧﺮﻣﺎل اﻟﮕﻮﻫﺎي ﻣﻔﻴﺪ در ﻓ ﺎ ﻛﻛﺸﻒ اﻟﮕ ﺎ ﺗﻌﻴﻴﻦ رﻓﺘﺎر ﻏﻴﺮﻧﺮﻣﺎل ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 34 روشﻫﺎي ﭘﻴﺎدهﺳﺎزي ﺗﺸﺨﻴﺺ ﻧﺎﻫﻨﺠﺎري ﻣﺒﺘﻨﻲ ﺑﺮ ا ﭘﺮدازه ﻣﺪل ﻣﺎرﻛﻮف :ﺑﻴﺎن رﻓﺘﺎر ﻧﺮﻣﺎل ﭘﺮدازه ﺗﻮﺳﻂ ﻣﺎﺷﻴﻦﻫﺎي ﺑﺎ ﺣﺎﻻت ﻣﺘﻨﺎﻫﻲ روش ﻣﺒﺘﻨﻲ ﺑﺮ ﺗﻮﺻﻴﻒ :ﺑﻴﺎن رﻓﺘﺎر ﻧﺮﻣﺎل ﭘﺮدازه ﺑﺎ اﺳﺘﻔﺎده از ﻳﻚ زﺑﺎن ﺗ ﻒ ﺗﻮﺻﻴﻒ ﺎ ﻣﺜﺎل :زﺑﺎن ، ASLﮔﺮاﻣﺮ ﺷﺒﻪ ﻣﻨﻈﻢ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 35 ﭘﻴﺎده ﺳﺎزي ﺳﻴﺴﺘﻤﻬﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺗﻮزﻳﻊ ﺷﺪه ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﺒﺘﻨﻲ ﺑﺮ ﻋﺎﻣﻞ ﻧﻈﺎرﺗﻲ اﻓﺰاري ﺑﺮاي اﻧﺠﺎم ﻳﻚ ﻋﻤﻞ ﻧﻈﺎرﺗ ﻧﺮماﻓﺰاري ﻋﺎﻣﻞ :ﻳﻚ ﻣﻮﺟﻮد ﻧﺮم )ﺟﻤﻊآوري داده( ﻳﺎ اﻣﻨﻴﺘﻲ )ﺗﺤﻠﻴﻞ( ﺧﺎص در ﻳﻚ ﻣﻴﺰﺑﺎن ﺗﺸﺨﻴﺺ ﻣﺒﺘﻨﻲ ﺑﺮ ﺎ ﻞ ﻋﺎﻣﻞ ﺗﺸﺨ ﺟﻤﻊآوري داده ﺗﻮزﻳﻊ ﺷﺪه ﺗﺤﻠﻴﻞ ﺗﻮزﻳﻊ ﺷﺪه EMERALDو AAFID ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 36 ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ ﻣﻘﺪﻣﻪ و ﺗﻌﺎرﻳﻒ اوﻟﻴﻪ ﻳﺨﭽﻪ ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺗﺎﺗﺎرﻳﺨﭽﻪ ردهﺑﻨﺪي و ﻣﺸﺨﺼﺎت ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﭘﻴﺎدهﺳﺎزي ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﻌﺮﻓﻲ ﭼﻨﺪ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻧﻤﻮﻧﻪ ﻫﺎي ﺗﺸﺨﻴﺺ ذ ﻧﻔﻮذ ﻣﻜﻤﻞ ﺳﻴﺴﺘﻢ ﺎ ﻜ ﻞ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 37 ﻣﻌﺮﻓﻲ ﭼﻨﺪ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻧﻤﻮﻧﻪ ﺳﻴﺴﺘﻢ Snort ﻳﻚ IDSراﻳﮕﺎن ﻣﺒﺘﻨﻲ ﺑﺮ ﺷﺒﻜﻪ ﺗﺸﺨﻴﺺ ﺳﻮءاﺳﺘﻔﺎده ﻣﺒﺘﻨﻲ ﺑﺮ ﺗﻮﺻﻴﻒ ﺣﻤﻼت ﺣﺎوي اﻟﮕﻮي ﻫﺰاران ﻧﻮع ﺣﻤﻠﻪ Packet logging Sniffing و gg g ﻗﺎﺑﻠﻴﺖ g ﺑﺑﺎ ﺑ ﻴ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 38 ﻣﻌﺮﻓﻲ ﭼﻨﺪ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻧﻤﻮﻧﻪ ﺳﻴﺴﺘﻢ OSSEC ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﺒﺘﻨﻲ ﺑﺮ ﻣﻴﺰﺑﺎن اﻣﻜﺎن ﺗﺤﻠﻴﻞ روﻳﺪادﻧﺎﻣﻪ ،ﻛﻨﺘﺮل ﺻﺤﺖ ،ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ رﺟﻴﺴﺘﺮي وﻳﻨﺪوز ﭘﺎﺳﺦدﻫﻲ دورهاي و ﭘﺎﺳﺦدﻫﻲ ﻓﻌﺎل ﻗﺎﺑﻠﻴﺖ ﺑﻪ ﻛﺎرﮔﻴﺮي در ﺳﻴﺴﺘﻢﻫﺎي ﻋﺎﻣﻞﻫﺎي ﻣﺨﺘﻠﻒ )ﻣﺎﻧﻨﺪ ،Linux ،Mac OS ،FreeBSDو (Windows ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 39 ﻓﻬﺮﺳﺖ ﻣﻄﺎﻟﺐ ﻣﻘﺪﻣﻪ و ﺗﻌﺎرﻳﻒ اوﻟﻴﻪ ﻳﺨﭽﻪ ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﺗﺎﺗﺎرﻳﺨﭽﻪ ردهﺑﻨﺪي و ﻣﺸﺨﺼﺎت ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﭘﻴﺎده ﺳﺎزي ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻣﻌﺮﻓﻲ ﭼﻨﺪ ﺳﻴﺴﺘﻢ ﺗﺸﺨﻴﺺ ﻧﻔﻮذ ﻧﻤﻮﻧﻪ ﺗﺸﺨﻴﺺ ﻔ ذ ﻧﻔﻮذ ﻫﺎي ﺸﺨ ﻣﻜﻤﻞ ﺳﻴﺴﺘﻢ ﺎ ﻜ ﻞ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 40 ﺳﻴﺴﺘﻢﻫﺎي ﺗﺮﻛﻴﺐ ﺑﺎ ﺳﻴﺴﺘﻢ ﻫﺎي ﺗﻠﻪ ﻋﺴﻞ ):((Honeypot ﺳﻴﺴﺘﻢ ﺗﻠﻪ ﻞ ﺘ اﻏﻔﺎل و ﻓﺮﻳﺐ ﻣﻬﺎﺟﻢ ﺟﻬﺖ ﻧﺤﻮة ﺑﻴﺸﺘﺮ زاز ﻮ ﺮ آوري اﻃﻼﻋﺎت ﺟﻤﻊ وري ﻊ ﻋﻤﻠﻜﺮد آن. درﺣﺎل ﺣﺎﺿﺮ ﺑﻴﺸﺘﺮ ﺑﺮاي ﺟﻤﻊآوري ﺑﺪاﻓﺰارﻫﺎ اﺳﺘﻔﺎده ﻣﻲﺷﻮد. اﺳﺘﻔﺎده از ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﺖ ﺗ اﻓ ﻚ ﺗﺮاﻓﻴﻚ ﻫﺪاﻳﺖ اي ﻫﺪا ي ﺑﺮاي ﻧﺎﻫﻨﺠﺎري ﻧﺎﻫﻨﺠﺎ ﻣﺸﻜﻮك ﺑﻪ ﺗﻠﻪﻫﺎ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 41 ﺗﺤﻠﻴﻞ ﻫﻤﺒﺴﺘﮕﻲ روﻳﺪادﻫﺎ Log Correlation Systems ﺷﺪه ﺗ ﻂ ﺗﻮﺳﻂ روﻳﺪادﻫﺎي ﺛﺛﺒﺖ ﺷ ا ﺎ ﻫﻤﺒﺴﺘﮕﻲ ﺑﻴﻦ ﮕ ﺗﺤﻠﻴﻞ ﺑﺮاي ﺗ ﻠ ﻞ ﺳﻴﺴﺘﻤﻲ ا ﺳﻴﺴﺘﻢﻫﺎي ﺗﺸﺨﻴﺺ ﻧﻔﻮذ اﻫﺪاف: ﻛﺎﻫﺶ ﺣﺠﻢ اﻋﻼنﻫﺎ ﭼﻨﺪﻣﺮﺣﻠﻪاي ي ج ﺣﻤﻼت ﭼ ﺮ اﺳﺘﺨﺮاج ﺮ ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 42 ﭘﺎﻳﺎن ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ http://dnsl.ce.sharif.edu ﭘﺴﺖ اﻟﻜﺘﺮوﻧﻴﻜﻲ [email protected] ﻣﺮﺗﻀﻲ اﻣﻴﻨﻲ -ﻧﻴﻤﺴﺎل اول 90-91 اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﻣﺮﻛﺰ اﻣﻨﻴﺖ داده و ﺷﺒﻜﻪ ﺷﺮﻳﻒ ) (http://dnsl.ce.sharif.edu 43
© Copyright 2025 Paperzz