آبخیزداری و منابع طبیعی مرودشت
در قسمت اول شما با نفوذ (IDS) به مجموعه ای از ابزارها، روش ها و منابع اطلاق می شود که نفوذها را شناسایی و ارزیابی کرده و آن ها را گزارش می دهد. در قسمت دوم شما با یک نفوذگر خارجی برای دسترسی به شبکه از ابزارهای تهاجمی مختلفی استفاده می کندو درقسمت سوم با شناسایی مبتنی بر ناهنجاری: این روش مبتنی بر مدلسازی رفتار آماری است. کارهای عادی اعضا تشریح و ثبت شده و میزان مشخصی انحراف از این رفتارهای عادی به عنوان ناهنجاری نشانه گذاری شده.قسمت چهارم در سیستم های ناهنجاری IDS مبتنی بر یادگیری ماشینی، یک مدل صریح یا ضمنی از الگوهای آنالیز شده به وجود می آید. این مدل ها به صورت دوره ای آپدیت می شوند تا عملکرد شناسایی نفوذ را بر اساس نتایج قبلی ارتقا دهند، درقسمت پنجم نقطه ضعف این روش این است که اگر حمله جدید باشد و از قبل تعریف نشده باشد درنتیجه روش شناسایی سوءاستفاده نمی تواند به آن پی ببرد، قسمت ششم نیز تمایز اصلی بین شناسایی مبتنی بر ناهنجاری و شناسایی مبتنی بر سوءاستفاده را به این صورت مشخص کرد: "سیستم های تشخیص ناهنجاری سعی بر این دارند که تأثیر رفتارِ سوء را شناسایی کنند ولی سیستم های تشخیص سوءاستفاده تلاش می کنند رفتارهای سوء شناخته شده را شناسایی کنند".(قسمت هفتم) موقعیت پردازشی داده های جمع آوری شده: سیستم های IDS بر اساس موقعیت پردازشی داده های جمع آوری شده به چهار دسته تقسیم می شوند:متمرکز،مستقل،توزیع شده و همکار و سلسله مراتبی.قسمت هشتم این زیرساخت برای برنامه های غیرنظامی نظیر ایجاد شبکه در کلاس های درس و کنفرانس ها مناسب است..(قسمت نهم) شرایط برای سیستم های IDS در شبکه های حسگر بی سیم (WSN)، بر اساس طبیعتِ ارتباطات بی سیم، منجر به وقوع مثبت های کاذب شده و بنابراین بایستی آنها را در مدل تصمیم گیری مد نظر قرار داد.(قسمت دهم) ژانگ و همکاران یه عنوان بخشی که ادامه ی کارهای قبلی آنها است ، ایده ی تشخیص نفوذ ادغام شده ی چندلایه را ارائه دادند که بر اساس سیستم IDS مبتنی بر عامل توزیع شده و مشارکتی (همکار) ساخته شده است.(قسمت یازدهم) ز روش خوشه بندی (کلاستر بندی) برای انتخاب یک لایه از مانیتورهای بی قاعده ی پراکنده استفاده می شود. این مانیتورها برای تعیین سوء رفتارهای مسیریابی با روش شناسایی ناهنجاری آماری مورد استفاده قرار می گیرند.(قسمت دوازدهم) تکنیک تشخیص نفوذ پیشنهادی یک تکنیک عمومی است که برای شبکه هایی مناسب است که پهنای باند محدود ندارند(قسمت سیزدهم) هر چه اعتبار و شهرت یکی از اعضا بیشتر باشد، اتصالات انتخابی بیشتر با اعضای دیگر شبکه برقرار می شود. این یعنی اعضای شبکه ترجیح می دهند با این گره ویژه ارتباط برقرار کنند تا گره هایی با اعتبار کمتر.آشنا شدید و حال قسمت دوازدهم مقاله :
ج. IDS مبتنی بر منطقه (zone)
بر اساس مدل سان و همکاران [40] که در آن IDS مبتنی بر منطقه است، شبکه به مناطقی که با هم تداخل ندارند تقسیم می شود و هر عامل IDS، هشدارهای محلی درون ناحیه را منتشر می سازد. مناطق دروازه (Gateway)، مسئول تجمع و همبستگی هشدار های محلی هستند. فقط گره های دروازه (Gateway) می توانند آژیر خطر یا آلارم های متداول شبکه را ایجاد کنند. هشدارها نمایانگر حملات احتمالی هستند و توسط عوامل محلی IDS ایجاد می شوند درحالیکه آلارم ها تشخیص نهایی را نشان می دهند و فقط توسط گره های دروازه ایجاد می شوند.
F. Zone based IDS
With Zone based IDS of Sun et al. [40], the network
is divided into non-overlapping zones and each IDS agent
broadcasts locally generated alerts inside the zone. Gateway
zones are responsible for aggregation and correlation of locally
generated alerts. Only gateway nodes can generate network
wide alarms. Alerts indicate possible attacks and are generated
by local IDS agents, while alarms indicate the final detection
and can be generated only by gateway nodes.
قابلیت موتور تجمع و همبستگی محلی پیشنهادی آنها این است که نتایج تشخیص موتورهای شناسایی را به صورت محلی جمع آوری کرده و با هم مرتبط سازد. این در حالی است که قابلیت موتور همبستگی و تجمع فراگیر پیشنهادی آنها در گره های دروازه این است که برای تصمیم گیری نهایی نتایج شناسایی حاصل از گره های محلی را جمع آوری کرده و به هم مربوط سازد.
The functionality of their proposed local aggregation and
correlation engine is to locally aggregate and correlate the detection
results of detection engines. Whereas, the functionality
of their proposed global aggregation and correlation engine
in gateway nodes is to aggregate and correlate the detection
results from local nodes in order to make final decisions.
هشدارهای محلی براساس دو معیار شناسایی ایجاد می شوند: 1) درصد تغییر در ورودی های مسیر (rout entries) که در یک بازه ی زمانی خاص نمایانگر ورودی های مسیریابی حذف شده و ورودی هایی که بتازگی اضافه شده اند است؛ 2) درصد تغییر در تعداد هاپ ها (گره ها) که نمایانگر تغییر در مجموع هاپ های همه ی ورودی های مسیریابی در یک بازه ی زمانی مشخص است.
Local alerts are generated according to two detection criteria:
1) Percentage of change in route entries, which represents
the deleted and newly added routing entries in a certain time
period; 2) Percentage of change in number of hops, which
represents the change of the sum of hops of all routing entries
in a certain time period.
According to the authors’
بر اساس شبیه سازی های این نویسندگان (که در شبیه ساز شبکه ی GloMoSim انجام شد)، مدل آنها با کاهش تحرک با مثبت های کاذب کمتری واکنش نشان می داد. به علاوه، آلگوریتم های تجمع مربوط به گره های دروازه (gateway)، مثبت کاذب پایین تری نسبت به IDS مربوط به گره های محلی به دست آوردند زیرا می توانند اطلاعات را از منطقه ی وسیع تری جمع آوری کنند و تصمیمات صحیح تری بگیرند.
مدل پیشنهادی، نفوذها را در لایه ی مسیریابی پشته یOSI شناسایی می کند اما از لایه های دیگر چشم پوشی می کند. از آنجا که حملاتی که در لایه های دیگر به وقوع می پیوندد با این مدل شناسایی نمی شود می توان گفت که این مدل یک IDS نسبی و ناقص است.
According to the authors’ simulations (performed on Glo-
MoSim network simulator), their model responded with fewer
false positives as the mobility decreased. Besides, aggregation
algorithm of gateway nodes achieved much lower false
positives than the IDS of local nodes, because they can
collect information from a wider area and make more accurate
decisions.
The proposed model detects intrusions in the routing layer
of the OSI stack but it ignores other layers. Since the attacks
happening in other layers would not be detected by this model,
it is a partial IDS.
این طرح پیشنهادی، همه ی گره ها را ملزم به داشتن اطلاعات محیطی پیرامونشان می کند. هرچند این امر با ادغام گیرنده ی سیستم تعیین موقعیت جهانی یا همان GPS با گره ها در شبکه های MANET امکان پذیر است اما در شبکه های WSN ممکن نیست زیرا عموماً اغلب گره های حسگر به خاطر محدودیت های هزینه و انرژی مجهز به GPS نیستند.
The proposed scheme requires each node to have the
geographical information surrounding them. Although this
is possible by integrating global positioning system (GPS)
receiver to the nodes in MANETs, it is not feasible in WSNs,
because most sensor nodes are not generally equipped with
GPS due to the cost and energy restrictions.
/224224