آنها در روش خود از یک جدول درهم ساز دو بعدی استفاده کرده بودند.همچنین به منظور کاهش حجم اطلاعات مورد ذخیره و پردازش از تکنیک نمونه برداری از جریان استفاده شده است. این مسئله باعث افزایش چشمگیری در سرعت محاسبات و نیز افزایش نرخ خطا به دلیل حذف برخی جریانات می شود. جهت کاهش نرخ خطا نویسندگان این پژوهش از یک سری تکنیک های آماری به منظور تخمین دقیق درجه ورودی/خروجی میزبان های مورد تحلیل بهره برده اند.
در پژوهش Kim و دیگران [۳۰] ابتدا انواع حملات محدود کننده سرویس در قالب الگوهای ترافیکی[۸۳] بررسی شده است. در واقع یک الگوی ترافیکی یا امضای حمله[۸۴] عبارت است از تعداد و اندازه جریان های شبکه و بسته ها و نیز میزان پهنای باند[۸۵] که در خلال حمله استفاده می شود. در این پژوهش نشان داده شده که این الگوی ترافیکی به ازای حملات مختلف بسیار متفاوت هستند. سپس با ارائه یکسری معیارهای ارزیابی[۸۶] در قالب توابع شناسایی[۸۷]، توانسته اند احتمال مشکوک بودن یک ترافیک را تخمین بزنند.
در پژوهشی دیگر Munz و دیگران، یک زیربنای[۸۸] عمومی برای شناسایی حملات محدود کننده سرویس معرفی کرده اند. آن ها نام سیستم خود را TOPAS[89] گذاشتند که وظیفه آن جمع آوری جریان های شبکه از منابع و مکان های مختلف بود. این زیربنا دارای بخش های شناسایی زمان حقیقی متفاوتی است که توسط مدیر شبکه پیکربندی می شوند. بخش های مختلف این زیربنا قادر به شناسایی انواع حملات هستند اما تمرکز اصلی این پژوهش بر شناسایی حملات محدود کننده سرویس و حملات محدود کننده سرویس توزیع شده[۹۰]، می باشد.
-
-
-
-
-
- پویش
-
-
-
-
حمله پویش در واقع ارسال یک سری بسته های کوچک به منظور کاوش[۹۱] سیستم مقصد می باشد. ماهیت این حمله به گونه ای است که تعداد بسیار زیادی جریان شبکه تولید می کند. این حمله ممکن است به میزبان های مختلف و از طریق پورت های مبدا و مقصد متفاوتی صورت گیرد. حملات پویش به سه دسته تقسیم بندی می شوند:
-
- پویش افقی[۹۲]: سیستم نفوذگر بر روی یک پورت خاص بر روی تعداد زیادی میزبان عملیات خود را انجام می دهد.
-
- پویش عمودی[۹۳]: سیستم نفوذگر بسته های پویشی خود را بر روی تعدادی از پورت های یک میزبان خاص ارسال می کند.
-
- پویش دسته ای[۹۴]: تعداد متفاوتی پورت بر روی تعداد متفاوتی میزبان توسط نفوذگر مورد پویش قرار می گیرد.
دسته بندی حملات پویش
بر مبنای ادعای مطرح شده توسط Zhao و دیگران، ویژگی برجسته حمله پویش را می توان درجه خروجی غیر نرمال میزبان دانست [۳۱]. از سویی دیگر درجه ورودی غیر نرمال میزبان نیز می تواند بیانگر احتمال وقوع حمله محدودکننده سرویس علیه میزبان باشد.
در پژوهشی Li و دیگران [۳۲] از یک طرح اولیه دو بعدی جهت شناسایی حملات پویش و نیز حمله محدود کننده سرویس بهره برده اند. همان طور که گفته شد، طرح اولیه یک جدول درهم است که توسط این جدول می توان تعداد رخداد مرتبط با یک رویداد را شمارش کرد. همچنین یک سری ویژگی های آماری در مورد تغییرات ترافیک شبکه در طول زمان به دست آورد. این نویسندگان برای هر بعد از این طرح اولیه دو بعدی کلیدهای متفاوتی را در نظر گرفته بودند. به عنوان مثال یک از ابعاد می تواند مرتبط با پورت مقصد باشد که سرویس مورد نظر در مقصد است. بعد دیگر نیز مرتبط با زوج آدرس مبدا و آدرس مقصد باشد که بیانگر تعاملات میان دو میزبان است. این کلید ها می تواند در شناسایی پویش افقی، عمودی و حمله سیل آسای [۹۵]SYN مفید واقع شوند.
در مدل آماری ارائه شده توسط Wagner و دیگران، از معیار ارزیابی انتروپی[۹۶] جهت تشخیص منظم بودن ترافیک شبکه استفاده شده است [۲۴]. معیار آنتروپی که در سال ۱۹۸۴ ارائه شد[۲۸]، نمایانگر میزان عدم قطعیت[۹۷] و تصادفی بودن[۹۸] یک پردازش اتفاقی[۹۹] است. به علاوه معیار انتروپی جهت فشرده سازی داده با کمترین میزان اتلاف[۱۰۰] داده می باشد. از این رو ارائه دهندگان این مدل با بهره گرفتن از مفهوم فشرده سازی انتروپی یک روال تحلیل[۱۰۱] موثر بر مبنای فشرده سازی دنباله معیارهای[۱۰۲] شبکه طراحی کردند. آن ها مشاهده کردند که وقوع حمله پویش در یک بازه زمانی خاص، بر روی انتروپی کلی میزبان تاثیر می گذارد. به طور کلی اگر از یک منبع تعداد زیادی جریان شبکه ارسال شود-منبعی پویشگر- انتروپی مرتبط با توزیع آدرس های مبدا دچار کاهش ناگهانی می شود. همچنین در همان زمان انتروپی مرتبط با توزیع آدرس های مقصد دچار افزایش ناگهانی می شود چرا که یک منبع مشغول برقراری ارتباط با تعداد زیادی مقصد می باشد. استفاده از این تغییرات انتروپی می تواند به آشکارسازی حملات در شبکه کمک کند.
در پژوهشی دیگر Ding و دیگران[۱۴] با یاری جستن از معیارهای تحلیل شبکه اجتماعی به اثبات نظریه خود در مورد رفتار نفوذگران در شبکه پرداخته اند. آنها این نظریه را مطرح کردند: “نفوذگر کسی است که فارغ از مرزهای اجتماعی موجود، با اجتماعات مختلف ارتباط برقرار کند". آن ها با بهره گرفتن از معیارهای تحلیل شبکه های اجتماعی مانند ضریب همبستگی دسته[۱۰۳] و مرکزیت میانی[۱۰۴] توانستند روشی موثر و ساده برای شناسایی نفوذگران ارائه دهند. مدل ارائه شده توسط آنها به عنوان مکمل سیستم های مبتنی بر امضاء می تواند به کار گرفته شود.
-
-
-
-
-
- Botnet
-
-
-
-
در حملات Botnet، گروهی از کامپیوترهای آلوده از راه دور توسط فرمانده حمله هدایت و کنترل می شوند. این شبکه از کامپیوترهای آلوده ابزاری مناسبی جهت راه اندازی حملات گسترده می باشد. شناسایی کامل این گروه از کامپیوترهای آلوده بسیار دشوار می باشد چرا که با شناسایی فرمانده حمله و منزوی کردن آن، سایر کامپیوترها دیگر خطرناک نمی باشند. اما روش موثری برای شناسایی فرمانده تا کنون پیدا نشده و این حوزه از پژوهش هنوز در ابتدای راه می باشد[۳۴]. یکی از تفاوت هایی که این حمله با حملات پویش و محدود کننده سرویس دارد این است که برای شناسایی این حمله Botnet نیاز به نظارت طولانی مدت شبکه وجود دارد تا بتوان فرمانده و یا کامپیوترهای آلوده تحت کنترل را شناسایی کرد. حال آنکه در حملات پویش و محدود کننده سرویس امکان شناسایی در زمان حقیقی[۱۰۵] وجود دارد.
در حقیقت، اکثر حملات Botnet از طریق کانال [۱۰۶]IRC اداره می شوند. که از طریق در سطح داده جریان شبکه قابل شناسایی هستند و نیازی به بررسی محتوای ترافیک ارسالی نمی باشد. در مدل ارائه شده توسط Karasaridis و دیگران [۳۹] ترافیک مرتبط با کانال IRC بدون توجه به شماره پورت مدل سازی می شود. در پژوهش مذکور دو هدف کلی دنبال شده است. اول اینکه طی یک روند چند مرحله ای فرماندهان حملات شناسایی می شوند. ابتدا با بررسی وقایع ثبت شده مرتبط با عملیات پویش، هرزنامه و ویروس ها جریان مرتبط با ارتباطات مشکوک شناسایی می شوند. این ارتباطات مشکوک که معمولا از طریق کانال IRC برقرار می شود، می تواند میان فرمانده احتمالی و شبکه تحت کنترل او باشد. سپس این الگوی ارتباطی مشکوک با مدل ساخته شده از جریان شبکه مقایسه می شود تا از صحت شناسایی مطمئن گردند. دومین هدفی که در پژوهش مورد نظر دنبال شده، این است که پس از شناسایی فرمانده حمله سیستم بتواند سیستم های آلوده تحت کنترل را از لحاظ رفتاری دسته بندی کند. به همین منظور یک الگوریتم دسته بندی سلسله مراتبی[۱۰۷] ارائه داده اند که کامپیوترهای آلوده را برمبنای فعالیت های پرت هایشان دسته بندی می کند.
در دو پژوهش دیگر روش مشابهی توسط Livadas و همکاران [۳۹] و نیز Strayer و همکاران [۳۸] استفاده شده است. در این پژوهش ها با مدل کردن جریان TCPو گفتمان های IRC و با بهره گیری از روش های یادگیری ماشین روشی جهت شناسایی خودکار حملات Botnet ارائه کرده اند. این پژوهشگران در پژوهش خود به بررسی کارآیی روش های یادگیری ماشین مانند استفاده از کلاسه کننده های درختی[۱۰۸]، شبکه های Bayesian[109] و کلاسه کننده های Naive Bayes[110] پرداخته اند. در نهایت توانسته اند با تفکیک ترافیک IRC از ترافیک های دیگر[۱۱۱] به شناسایی و تفکیک ترافیک های مرتبط با حمله بپردازند.