چکیده:
حملات انكار سرويس به حملاتي اطلاق مي شود كه منابع سيستم از قبيل پردازش گر، پهناي باند شبكه، حافظه و ... را طوري مصرف مي كنند كه سيستم از ارايه سرويس به كاربران مجاز باز مي ماند. حملات انكار سرويس توزيع شده حملات انكار سرويسي مي باشند كه به صورت گسترده و توسط چندين سيستم سازماندهي شده (باتنت ها) براي از كار انداختن سرويس دهنده ها به كار مي روند. با اينكه بسياري از كمپاني ها، سيستم هاي تشخيص حملات انكار سرويس توزيع شده متعددي را معرفي كرده اند، اما به دليل اينكه الگوي اين حملات روزبه روز پيچيده تر شده است، پيش گويي حملات انكار سرويس توزيع شده با يك روشي كه هزينه مناسبي داشته باشد همچنان مشكل است.
در اين مقاله سعي شده است تا با بهره گيري از سيستم هاي خبره، روشي براي تشخيص حملات ارايه شود تا با درنظر گرفتن علايم حمله و تاريخچه حملات قبلي به تشخيص حمله بپردازد. مزيت اين سيستم، آموزش از روي داده هاي قبلي و پويايي در مقابله با الگوهاي حمله جديد مي باشد. در پايان به پياده سازي روش توسط ويژوال استوديو پرداخته و مقادير حاصل از سيستم را با نرم افزارهاي شبيه ساز مقايسه مي كنيم.
خلاصه ماشینی:
"ساختار یک حمله انکارسرویس توزیع شده توسط باتنت ها در این مقاله با استفاده از علائم تشخیص باتنت ها، سنجش آنتروپی جریان (اندازه گیری عددی یک نتیجه غیرقطعی را آنتروپی میگویند)، ضریب همبستگی و احتمال حملات مشابه قبلی و با بهره گیری از استنتاج سیستم خبره ، احتمال حمله را تشخیص میدهیم .
بر اساس تحقیقات صورت گرفته به این نتیجه رسیدیم که بهترین علائم برای تشخیص باتنت ها عبارت اند از: راه کارهای مبتنی بر امضا: اگرچه باتنت ها هر روز از تکنیک های جدیدتری استفاده میکنند اما تحقیقات نشان میدهد الگوی اکثر حملات تکراری است .
مقیاس بندی منطق فازی برای مثال میتوان گفت زمانی که آنتروپی جریان از حدش تجاوز کرده است و ضریب همبستگی نیز نامعتبر است حتی اگر تشخیص باتنت ها نامشخص باشند و حمله ای با این علائم از قبل هم رخ نداده باشد آنگاه رخ دادن حمله محتمل است یعنی به احتمال ٨٥ درصد حمله رخ داده است .
نکته : تمامی احتمالات مربوط به حمله انکارسرویس بر این اساس شکل گرفته است که "آنتروپی جریان های حمله یک روش مستقل از ویژگی حمله ها است و بر اساس تحقیقات صورت گرفته بهترین و دقیق ترین علامت برای تشخیص حملات سیل آسا است " بنابراین در صورت وجود و یا عدم وجود علامت آنتروپی تأثیر احتمالی حملات قبلی و باتنت دست خوش تغییرات میشوند.
حاصل با آخرین احتمال درست تشخیص داده شده تجمیع میگردد؛ و اما اگر هیچ حمله ای با علائم مشابه در سیستم رخ نداده باشد آنگاه سیستم احتمال رخ دادن حملات قبلی مشابه را پنجاه درصد در نظر میگیرد زیرا ممکن است این حمله در دنیای واقعی رخ داده باشد."