قابلیت دسترسی به معنای ارائه سرویس های مورد انتظار و تعریف شده سیستم در زمانهای مورد نظر به کاربران است. حمله هایی که با هدف تهدید یا از بین بردن قابلیت دسترسی انجام می شوند، حمله های از کار اندازی سرویس نامیده می شوند. در این مقاله دسته بندی جدیدی از این حمله ها را ارائه کرده ایم. سپس بر اساس دسته بندی ارائه شده برخی اصول لازم برای طراحی پروتکل هایی که در مقابل این نوع حمله ها مقاوم باشند را مطرح کرده و آنها را تحلیل کرده ایم. در این مقاله همچنین نشان داده ایم که برخی از پروتکل های موجود در TCP/IP با اصول مطرح شده سازگار نیستند و به این دلیل در مقابل حمله های از کار اندازی سرویس آسیب پذیرند. همچنین در این مقاله برخی از حمله های از کار اندازی را بررسی کرده و راه حل هایی برای سازگار کردن پروتکل ها با اصول مطرح شده ارائه کرده ایم.

Distributed DENIAL of SERVICE (DDoS) ATTACKS are among the primary concerns in internet security today. Machine learning can be exploited to detect such ATTACKS. In this paper, a multi-layer perceptron model is proposed and implemented using deep machine learning to distinguish between malicious and normal traffic based on their behavioral patterns. The proposed model is trained and tested using the CICDDoS2019 dataset. To remove irrelevant and redundant data from the dataset and increase learning accuracy, feature selection is used to select and extract the most effective features that allow us to detect these ATTACKS. Moreover, we use the grid search algorithm to acquire optimum values of the model’s hyperparameters among the parameters’ space. In addition, the sensitivity of accuracy of the model to variations of an input parameter is analyzed. Finally, the effectiveness of the presented model is validated in comparison with some state-of-the-art works.

در سال های اخیر، فضای مجازی مملو از حملات اینترنتی ازجمله حملات انکار سرویس، فیشینگ اطلاعات، کلاهبرداری مالی، ارسال هرزنامه ایمیل و غیره شده است. از رایج­ترین حملات اینترنتی که سبب زیان­های اقتصادی قابل توجهی به زیرساخت مالی کشورهای مختلف شده است، حملات انکار سرویس است. به عنوان یک اقدام پیشگیرانه، سامانه های تشخیص نفوذ مجهز به الگوریتم­های طبقه­بندی یادگیری ماشین برای تشخیص ناهنجاری­ها در ترافیک شبکه توسعه داده شده است. این الگوریتم­های طبقه­بندی در ارتباط با نوع حمله انکار سرویس، میزان موفقیت متفاوتی در شناسایی این حملات داشته­ و به کاربران اجازه می­دهند تا به طور مؤثر بین ترافیک عادی و ترافیک مخرب انکار سرویس بادقت خوبی تمایز قائل شوند. در روش پیشنهادی، سه مرحله برای شناسایی و طبقه­بندی متداول­ترین حملات انکار سرویس به کارگرفته شده است. در مرحله اول، پیش پردازش داده­های مجموعه داده واقعی SNMP-MIB برای حذف داده­های ناقص و مقیاس بندی داده­ها انجام می­شود. در مرحله دوم با کاهش تعداد متغیرهای مجموعه داده، صرفاً از متغیرهای گروه واسط مجموعه داده استفاده شده که منجر به کاهش زمان تشخیص حملات می­شود و در مرحله آخر روش یادگیری جمعی نظارتی رأی گیری برای تفکیک ترافیک عادی از ترافیک حمله به کار گرفته می­شود. نتایج نشان می­دهد که می­توان ترافیک عادی و 5 حمله انکار سرویس از مجموعه داده استفاده شده را با نرخ دقت 100 درصدی تشخیص داد و تنها دقت تشخیص دو حمله UDP Flood و Slowloris به ترتیب با 87/99 و 94/99 درصد، با استفاده از روش پیشنهادی دارای خطای بسیار ناچیزی بوده است.

با توسعه فناوری های نوین اطلاعاتی و ارتباطی و فراگیر شدن بهره برداری از فضای سایبر، حملات انکار سرویس توزیع شده (DDoS) یک تهدید جدی برای سازمان های آنلاین می باشد. این حملات می توانند اثرات مخرب داشته باشد به عنوان مثال بروی یکی از اثرات آن می تواند از جنبه چهره عمومی نماد تجاری و درآمدهای آن باشد. یک روش مناسب برای مقابله برای دفاع دربرابر حملات DDoS، ذخیره یک امضا برای هر حمله است. امروزه بیشتر سازمان ها و نهادها اعم از کشوری و لشکری (نظامی و انتظامی) با چنین حملاتی روبرو هستند لذا در این تحقیق تلاش بر آن است تا ضمن شناخت سیستم های شناسایی نفوذ در روش پیشنهادی به منظور تولید امضا لازم تبیین شود. با استفاده از این روش به محض پیداشدن این امضا در ترافیک، هر حمله را می توان شناسایی کرد. هرچند، این فرآیند چندان ساده نیست و فرآیند تولید امضا معمولا وقت گیر و نیازمند تلاش فراوان است. برای کمک به منظور حل این چالش حل این مشکل تولید امضا، در این تحقیق، یک روش خودکار را برای تولید امضاهای برپایه بسته داده برای حملات DDoS پیشنهاد می کنیم. این تحقیق همچنین روابط بین بسته های داده مختلف یک حمله یکسان را بررسی می کند. درواقع امضای دیجیتال مبتنی بر بسته داده برای حملاتی استفاده می شود که الگو و هسته اولیه آنها یکی می باشد و تنها تفاوت جزئی در ساختار حمله تغییر می کند. پژوهش با پیشنهاد یک الگوریتم تولید امضا و اعتبارسنجی آن با استفاده از ابزارهای کاربردی، به پایان می رسد.

شبکه های نرم افزارمحور، معماری جدیدی از شبکه های کامپیوتری بوده که از هدایت کننده مرکزی استفاده می کنند. این شبکه ها متکی بر نرم افزار هستند و از این رو، حملات امنیتی گوناگونی می تواند از طریق اجزای مختلف شبکه بر ضد آن ها صورت گیرد. یکی از این نوع حملات، حمله منع سرویس توزیع شده است. این حمله یکی از جدی ترین تهدیدات در دنیای شبکه های کامپیوتری است و بر روی کارایی شبکه، تاثیرمی گذارد. در این پژوهش یک روش تشخیص حملات منع سرویس توزیع شده به نام «حمله یاب» در شبکه های نرم افزارمحور ارایه شده است. این سامانه مبتنی بر ترکیب روش های آماری و یادگیری ماشین است. در روش آماری از آنتروپی مبتنی بر آی پی مقصد و توزیع نرمال با استفاده از حد آستانه انعطاف پذیر، برای تشخیص حملات استفاده شده است، توزیع نرمال، یکی از مهم ترین توزیع های احتمال پیوسته در نظریه احتمالات است. در این توزیع، میانگین آنتروپی و انحراف استاندارد در تشخیص حملات تاثیر دارند. در بخش یادگیری ماشین، با استخراج ویژگی های مناسب و استفاده از الگوریتم های کلاس بندی نظارت شده، دقت تشخیص حملات منع سرویس توزیع شده بالا می رود. مجموعه داده های مورد استفاده در این پژوهش، ISCX-SlowDDoS2016، ISCX-IDS2012، CTU-13 و ISOT هستند. روش پیشنهادی حمله یاب با چند روش دیگر مقایسه شده است که نتیجه مقایسه نشان می دهد که روش حمله یاب با دقت 65/99 و نرخ هشدار غلط، 12/0 برای مجموعه داده UNB-ISCX و دقت تشخیص 99٫ 84 و نرخ هشدار غلط 0٫ 25 برای مجموعه داده 13-CTU دقت و کارایی بالایی نسبت به سایر روش های دیگر دارد.

رصد حملات منع سرویس توزیع شده که توسط شبکه های بات صورت می گیرد، کماکان دارای چالش های عدم قطعیت در حین حمله است. در این پژوهش روشی پیشنهاد شده است که شبکه بات، کسری از بسته های حمله را به سمت میزبان های خودی (حسگر نیابتی) در اقصی نقاط شبکه ارسال کنند و سپس داده حسگرهای نیابتی را ادغام کرده تا برآوردی از قدرت شبکه بات حاصل شود. منابع عدم قطعیت اعم از وجود فیلترینگ دفاعی (محلی و منطقه ای)، خرابی حسگرها و گم شدن بسته ها می تواند موجب مخدوش شدن تخمین قدرت شبکه بات شود. از این رو، در دو مرحله، طرح پیشنهادی در شرایط عدم قطعیت، به صورت تک حسگر و چندحسگر نیابتی مورد مدل سازی قرار گرفت. سپس با استفاده از شبیه ساز آمنت، مدل پیشنهادی با استفاده از سه سناریو تحت آزمایش قرار گرفت و نتایج آن در قالب شاخص های نرخ دریافت بسته، درصد اشغال پهنای باند، تاخیر زمان پاسخگویی قربانی و زمان نرخ گم شدن بسته ها، اندازه گیری و مورد تجزیه و تحلیل قرار گرفت. همچنین، از داده های تولیدشده توسط شبیه ساز برای مرحله تلفیق داده استفاده گردید. در ادامه پژوهش، برای ادغام داده از روش های رای گیری بیشینه، کمینه و متوسط گیری بهره گرفته شد و نتایج با استفاده از روش اقلیدسی مورد مقایسه و ارزیابی قرار گرفت و نشان داد که روش کمینه بیشینه (مین ماکس) در شرایط فوق دارای دقت 95 % است. آزمایش فوق در محیط اینترنت با بهره مندی از بسته های علامت دار، نشان داد که روش بیشینه از دقت 96 درصدی برخوردار است. در نهایت، طرح پیشنهادی اثبات کرد که می توان قدرت شبکه بات را حین حمله، به وسیله میزبان های خودی (نیابتی) و ادغام اطلاعات آن-ها اندازه گیری کرد.