البته شاخص های جریان شبکه دیگری نیز مطرح می شوند[۹] که مدیر شبکه بر مبنای نیاز شبکه خود می توانند از شاخص های مناسب استفاده کند. نظارت بر جریان شبکه یک پردازش دو مرحله ای می باشد:
صادر کردن^[۴۰] جریان
این کار توسط جز صادرکننده^[۴۱] در شبکه انجام می شود که به آن نقطه نظارت^[۴۲] نیز گفته می شود. به طور معمول یک مسیریاب و یا یک قطعه سخت افزاری است که قابلیت پشتیبانی از جریان شبکه را دارا می باشد. جز صادرکننده وظیفه ساخت جریان شبکه را از ترافیک عبوری شبکه بر عهده دارد که به آن عملیات اندازه گیری^[۴۳] نیز می گویند. در این عملیات عنوان بسته های عبوری از نقطه نظارت ضبط شده و بر مبنای پیکربندی شبکه نمونه برداری و فیلتر کردن عنوان ها صورت می گیرد. در نهایت عملیات بروز رسانی^[۴۴] بانک داده ای مربوط به جریانات شبکه انجام می گیرد.
جمع آوری جریان^[۴۵]
مرحلهجمع آوری جریانات شبکه توسط جزء جمع کننده^[۴۶] انجام می پذیرد. وظیفه جمع کننده، دریافت جریان شبکه ضبط شده توسط صادرکننده و ذخیره آن به فرمی مناسب جهت نظارت و تحلیل می باشد.
در شکل شماره ۲ زیر می توانید معماری مرتبط با عملیات صدور و جمع آوری جریان شبکه از ترافیک عبوری را مشاهده کنید[۱۰و ۱۲].
عملیات صدور و جمع آوری جریان شبکه

• • 1. 1. انواع حملات

برای این که درک بهتری از روند الگوریتم های شناسایی نفوذ داشته باشیم، در این بخش مروری کلی بر انواع حملات موجود خواهیم داشت. دسته بندی های متفاوتی از حملات در حوزه امنیت شبکه وجود دارد[۱۳ و ۱۴].
(( اینجا فقط تکه ای از متن درج شده است. برای خرید متن کامل فایل پایان نامه با فرمت ورد می توانید به سایت nefo.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. ))

• • حملات فیزیکی^[۴۷]: با هدف آسیب رساندن به کامپیوترها و سخت افزار شبکه راه اندازی می شوند.

• • سرریزی حافظه میانگیر^[۴۸]: این نوع حملات کنترل یک پردازش در سیستم قربانی را به دست گرفته و با سرریز کردن بافر مرتبط با پردازش مورد نظر در سیستم ایجاد اخلال می کند.

• • حملات رمز عبور^[۴۹]: در یک سیستم محافظت شده، این نوع حمله به دنبال یافتن رمز عبور و یا راهی جهت نفوذ به سیستم می باشند.

• • حملات محدود کننده سرویس^[۵۰]: این حملات کاربران مجاز را با شرایطی مواجه می کنند که دسترسی به سرویس های مورد تقاضا امکان پذیر نبوده و یا به سختی صورت می پذیرد.

• • سرقت اطلاعات^[۵۱]: در این نوع حمله سیستم قربانی به طور مستقیم آسیب نمی بیند. نفوذگران به دنبال جمع آوری اطلاعات جهت حملات احتمالی در آینده می باشند.

• • حملات اسب تروجان^[۵۲]: برنامه هایی در ظاهر مفید و کاربردی وارد سیستم قربانی شده و حمله را راه اندازی می کنند.

• • ویروس ها^[۵۳]: برنامه های مخربی که خود را با کمک تعامل فریبنده با کاربر در سیستم قربانی منتشر می کنند. به عنوان مثال خود را به یک فایل اجرایی وصل کرده و توسط آن فعالیت خود را شروع می کند.

• • کرم ها^[۵۴]: این نوع حملات، برنامه هایی هستند که خود را در شبکه منتشر می کنند. خاصیت خودانتشاری^[۵۵] سبب تفکیک حملات ویروس و کرم از یکدیگر می شود. دارای سرعت انتشار بسیار بالایی نسبت به ویروس ها هستند.

• • حملات Botnet: گروهی از کامپیوترهای آلوده^[۵۶] از راه دور توسط یک فرمانده^[۵۷] هدایت و کنترل می شوند. این گروه از کامپیوترهای آلوده زیربنای مناسبی جهت راه اندازی حملات گسترده مانند انتشار هرزنامه^[۵۸]، کرم و … می باشند.

فصل سوم

1. 1. پیشینه تحقیق

      1. 1. مقدمه

همان طور که در فصل ۲ ذکر شد، سیستم شناسایی نفوذ مبتنی بر شبکه از دو رویکرد کلی جهت انجام شناسایی استفاده می کنند. این دو رویکرد بر مبنای این که ترافیک عبوری در شبکه چگونه بررسی می شود، شکل گرفته است. در بخش ۳-۲ به تفصیل به معرفی و بررسی این دو رویکرد می پردازیم.
در بخش ۳-۳ روش هایی که تا کنون از این رویکردها استفاده کرده اند بررسی می شوند.
در بخش ۳-۳ به بررسی داده های مورد استفاده در مبحث شناسایی نفوذ می پردازیم.

• • 1. 1. روش مبتنی بر جریان در برابر روش مبتنی بر محتوا

همان طور که در فصل پیشین دیدیم، سیستم های شناسایی نفوذ مبتنی بر شبکه از دو رویکرد کلی جهت شناسایی ترافیک مشکوک استفاده می کنند. هر بسته داده عبوری در شبکه دارای دو بخش عنوان و محتوا می باشد. بر مبنای این که روش شناسایی از کدام بخش از داده شبکه استفاده می کند، روش ها را به دو دسته تقسیم بندی می کنند. در ادامه هر یک از این روش ها بررسی و تعدادی از پژوهش هایی که در این زمینه مطرح گردیده اند آورده می شود.