دانلود رایگان ترجمه مقاله سیستم تشخیص نفوذ و حفاظت داخلی (آی تریپل ای ۲۰۱۷)

مبتدی (مناسب برای درک مفهوم کلی مطلب) 

۳٫ IIDPS
در این بخش، در ابتدا چارچوب IIDPS را معرفی کرده و مولفه های IIDPS را به تفصیل تشریح می نماییم. دو الگوریتم نیز برای تولید یک فایل عادت کاربر و شناسایی یک متجاوز داخلی ارائه می شوند

A. چارچوب سیستم
همان طور که در شکل ۱ نشان داده شده، IIDPS متشکل از یک ناظر و فیلتر SC ، یک سرور کاوش، یک سرور شناسایی، یک شبکه ی محاسباتی محلی و سه مخزن است. لازم به ذکر است که این مخازن، فایل های ثبت وقایع کاربر، پروفایل های کاربر و پروفایل متهاجم هستند. فیلتر و ناظر SC به عنوان یک ماژول قابل بارگذاری قرار داده شده در هسته ی سیستم در نظر گرفته شده است و SCs هایی که به هسته ارسال شده اند را جمع آوری کرده و به شکل (uid,pid,SC) در سیستم محافظت شده ذخیره می نماید. Uid، pid و SC به ترتیب ID کاربر، پردازش ID و SC c بوسیله ی کاربر اساسی ارسال شده است ( ). همچنین ورودی های کاربر را در فایل ثبت وقایع کاربر که فایلی برای نگهداری SCs های ارسالی از طرف کاربرِ دنبال کننده ی ترتیب ارسال شده اش است، ذخیرهمی نماید. سرور کاوش، داده ی ثبت وقایع را با روش های داده کاوی تحلیل می کند تا عادات استفاده از کامپیوتر کاربر را به عنوان الگوهای رفتار کاربر شناسایی نماید. سرور شناسایی، الگوهای رفتارهای کاربران را با الگوهای SC که در پروفایل متهاجم جمع شده اند (الگوهای تهاجم) و الگوهای جمع شده در پروفایل کاربر مقایسه می کند تا به ترتیب رفتارهای مخرب را شناسایی کرده و بهنگام مشخص کند که مهاجم واقعی کیست. هنگامی که یک تهاجم شناسایی می شود، سرور شناسایی به فیلتر و ناظر SC اعلام می کند تا کار بر را از سیستم حفاظت شده مجزا کند. هدف این کار جلوگیری از مهاجم است تا پیوسته به سیستم حمله نکند.
هر دو سرور شناسایی و کاوش روی شبکه ی کحاسباتی محلی راه اندازی می شوند تا سرعت شناسایی برخط IIDPS و کاوش را افزایش داده و قابلیت های کاوش و شناسایی ان را تقویت نماید. اگر یک کاربر با استفاده از الگوی ورود به سیستم فرد دیگری، به سیستم وارد شده باشد، IIDPS با محاسبه ی امتیازت تشابه بین ورودی های کنونی کاربر (SCs) و الگوهای رفتار ذخیره شده در پروفایل های کاربرِ کاربران مختلف، تشخیص می دهد که کاربر اساسی چه کسی است. SCs جمع آوری شده در لیست SC کلاس محدود به عنوان مولفه ی کلیدیِ فیلتر و ناظر SC، SCs هستند که برای استفاده شدن بوسیله ی کلاس ها/ گروه ها ی محتلفی از کاربران در سیستم اساسی ممنوع گردیده اند. برای مثال یک منشی نمی تواند از برخی از مزایای خاص SCs بهره ببرد بنابراین، دستوراتی که این SCs را تولید می کند، برای استفاده ی منشی ها ممنوع خواهد شد.

B. فیلتر و ناظر SC
SC در حقیقت یک واسط بین کاربرد کاربر و خدمات ایجاد شده بوسیله ی هسته است. به طور کلی، مقدار بسیار زیادی از SCs در زمان اجرای کار (برای مثال یک فعالیت یا پردازش) تولید می شوند. برای مثال، زمانی که یک کاربر رمز عبور خود را بوسیله ی ارائه کردن یک دستور برنامه ی واسط “رمز عبور” به سیستم در حال کار لینوکس تغییر داده باشد، تا ۲۹۱۶ SCs از جمله بازکردن ()، بستن ()، خواندن()، نوشتن() و غیره تولید می شود. بنابراین، نظارت همه ی SCs به طور همزمان برای یک سیستم دشوار است، خصوصا در زمانی که کاربران زیادی برنامه هایشان را اجرا می کنند. به عنوان یک نتیجه، نیاز داریم تا برخی از SCs های ایمنی که مکررا استفاده می شوند را فیلتر کنیم.
برای فهمیدن این مسئله که کدام SCs ، موارد تولید شده ی معمولی بوسیله ی دستور برنامه ی رابط می باشند، مدل استاتیکِ تناوب شرط-تناوب معکوس سند (TF-IDF) استفاده می شود تا اهمیت SCs جداشده ای که در فایل ثبت وقایع کاربر جمع شده اند را تحلیل نماید. رابطه ی بین یک شرط و یک سند در حوزه ی بازیابی اطلاعات همانند رابطه ی بین Sctiو دستور (برای مثال j که ti را تولید می کند) است. تناوب شرط (TF) به کار گرفته شده برای اندازه گیری وزن تناوب یک SC تولید شده بوسیله ی j به صورت زیر تعریف می شود:

که تعداد دفعاتی است که ti در زمان اجرای j ارسال می شود، h تعداد SCs مختلفِ تولید شده در زمان اجرای j است و مقسوم علیه تعداد دفعاتی که همه ی این SCs ارسال می شوند را جمع می کند. تناوب معکوس سند (IDF)، معیار اهمیت ti در میان همه ی دستورات برنامه ی رابط در نظر گرفته شده، به صورت زیر تعریف می شود
که (عدد اصلی D) تعداد کل دستورات برنامه ی واسط در مجموعه ی در نظر گرفته شده است و مجموعه ی دستورات برنامه ی رابط dj می باشد که در طول اجرایش در هر عضو ti تولید می کند. وزن TD-IDF برای ti که بوسیله ی j تولید می شود به صورت زیر تعریف می گردد.
در واقع، وزن TF-IDF به عنوان یکی از روش های وزن دهی در داده کاوی و حوزه های بازیابی اطلاعات، متناسب با تعداد دفعاتی که یک SC در فایل ثبت وقایع کاربر ظاهر می شود، افزایش می یابد و درواقع می تواند اهمیت SC مشخصی را نشان دهد..
جدول ۱ چهار دستور برنامه ی واسط متشکل از chmod، kill، date و rm و SC هایی که تولید کرده اند می باشد را لیست می کند. SC close(19) که در ردیف chmod ظاهر می شود، این موضوع که SC close() در زمانی که chmod اجرا می شود، برای مجموعا ۱۹ دفعه تکرار می گردد را ارائه می کند.
بنابراین، وزن TF برای close() با استفاده از (۱) درجایی که تعداد کل دفعاتی که SCs در هنگام اجرای chmod تولید می شود، ۹۴ است، برابر با می باشد. وزن TF برای SC kill() در زمان اجرای دستور kill برابر با است.
وزن های IDF برای open() و unlinkat() براساس جدول ۱ و (۲) به ترتیب برابر با و هستند، از آنجایی که مورد دوم تنها بوسیله ی دستور rm تولید می شود به معنای در میان چهار دستور است، unlinkat() یک ارائه دهنده ی SC ی rm است و open() بوسیله ی هر چهار دستور مطرح می گردد، این مسئله نشان می دهد که این دستور هیچ کدام از این چهار دستور را ارائه نمی کند. وزن TF-IDF برای SCs باقی مانده می تواند در روشی مشابه محاسبه گردد.
همه ی داده های جمع آوری شده در IIDPS، بوسیله ی یک ابزار داده کاوی تحلیل می شوند (تحلیلگر iData) که قابلیت پیشبینی شدن کلاس و پیش بینی پذیری کلاس دو پارامتر استفاده شده در آن هستند. این دو پارامتر به ترتیب برای ارزیابی کلاس داخلی و وزن های کلاس داخلیِ یک ویژگی در کلاس هایی با ویژگی طبقه بندی شده استفاده می شوند. در ادامه، قابلیت پیش بینی شدن کلاس در تعریف ۱ و پیش بینی پذیری کلاس در معادله ی ۲ تعریف می شوند.
تعریف ۱ (قابلیت پیش بینی شدن کلاس): با توجه به کلاس C و ویژگی مطلق A با به عنوان مقادیر کاندید آن، امتیاز قابلیت پیش بینی شدنِ کلاس C روی A برابر است با vi، که بوسیله ی علامت گذاری شده، به عنوان درصدی تعریف می شود که مقدار A در C به اندازه ی آن vi است. مجموع امتیازات قابلیت پیش بینی شدن برای ویژگی A روی همه ی مقادیر کاندید آن در C برابر با ۱ است که در آن نمونه ای از C با A=vi می باشد. امتیاز قابلیت پیش بینی شدنِ ti با توجه به SC ti و دستور j، درصدی را اندازه می گیرد که به همراه آن می باشد و Q در آن مجموعه ای از SCs تولید شده در زمان اجرای j است. (به یاد داشته باشید که دیگر دستورات نیز می توانند ti را در زمان اجرایشان تولید کنند). امتیاز قابلیت پیش بینی پذیری ti (بوسیله ی p(ti) علامت گذاری شده) که اجرای j را شناسایی می کند، این معیار را محقق می نماید: .