الفهرس 
INTRODUCTIONOnly 14 pages are availabe for public view
 |  | from | 177 |  |  |
| | | from | 177 | | |
Abstract
أصبح كشف الاختراق- وهوعملية استخدام شبكة الحاسوب وبيانات النظام في تحديد هوية الهجمات الالكترونية المحتملة – عنصراًمتزايد الأهمية في البنية التحتية لأمن المعلومات.
عادة ما تنتج نظم كشف الاختراق الحالية عدداً هائلاً من التنبيهات و في الغالب ما تكون تنبيهات ايجابية زائفة ، و نظراً للطبيعة المعقدة الديناميكية ( المتغيرة ) لشبكات الحاسوب و احتمالية الاستجابة لتلك الهجمات المحتملة بطريقة غير ملائمة أو مدمرة ، لذا لا تصل نظم كشف الاختراق إلى الفعالية إلا بدعم من المحللين .
يلجأ المحللون لكميات هائلة من البيانات متعددة الأبعاد من مصادر مختلفة لاتخاذ قرارات مناسبة لتلك الهجمات المحتملة . و لذلك فإن عملية التحليل و الاستجابة للاختراق ليست فقط صعبة و لكنها تستهلك الكثير من الوقت أيضاً .
تتيح لنا تقنية عرض الاختراقاتبشكل مرئي أن نحلل الهجمات بشكل حدسي ( يعتمد على البداهة) و تعقب الاختراقات بشكل فعال . التقنية الحالية لعرض ( إظهار) الاختراقات عادة ما تعتمد على البيانات الإحصائية لحركة الشبكة أو على سلوكيات (تصرفات ) المستخدمين .
وتبعاً لذلك فإن التقنية الحالية لعرض الاختراقات مفيدة في حالة الهجمات من نوع ”رفض الخدمة ” (Dos) التي تؤدي لعدد ضخم من التنبيهات .
تقترح الرسالة عدة تقنيات مرئية لعملية كشف الاختراق لتصبح أكثر فاعلية لمساعدة المشرف على الشبكة في اكتشاف الهجمات في الوقت المناسب.
التقنيات المرئية المستخدمة في هذه الرسالة هي:استخدام CSS مع PHP،استخدام Jquery معPHP،و أيضاً استخدام الدوال المرئية في برنامج الماتلاب مثل دالة : bar،barh،plotmatrix وsurf .
كما تم استخدام تقنيات التجميع لأشهر أنواع الهجمات(DoS) التي تتم على الشبكة و عرض نتائجها بشكل مرئي .
يقدم هذا البحث طريقتين لرؤية التسلل الشبكي، تستند الطريقة الأولى لاكتشاف التسلل الشبكي على التوقيع وتم عرض الإطار العام لهذه الطريقة بالإضافة إلي النظام المقترح لرؤية التسلل الشبكي باستخدامها، تركز هذه الطريقة على محركات الكشف والتي تُـعد الجزء الأكثر أهمية زمنية في نظم اكتشاف التسلل الشبكي ذو المصدر المفتوح (Snort) وتتركز مسؤوليتها على اكتشاف وجود أي اختراق في وحدة البيانات ، يطبق محرك الكشف قواعد نظم اكتشاف التسلل الشبكي ذو المصدر المفتوح (Snort) لهذا الغرض، ويعتمد أيضاً على مدى فاعلية الجهاز الذي يتم تشغيل محرك الكشف من خلاله ويعتمد أيضاً على عدد القواعد التي تم تعريفها على هذا الجهاز، تختلف الاستجابة الزمنية باختلاف وحدة البيانات ، إذا ما تعرضت الشبكة لمعدل استخدام مرتفع أثناء تشغيل نظم اكتشاف التسلل الشبكي ذو المصدر المفتوح (Snort) في حالة نظم اكتشاف التسلل الشبكي (NIDS) ربما تٌفقد بعض من وحدات البيانات وبالتالي لا نحصل على استجابة زمنية حقيقية. النظام المقترح لهذه الطريقة يستخدم العديد من تقنيات مثل PHP مع CSS و Jquery وأيضاً دوال برنامج الماتلاب مثل (bar, barh, plotmatrix and surf) لإضفاء مزيد من التفاعلية على عملية اكتشاف الاختراق وأيضاً مساعدة المدير المسئول عن الشبكة في اكتشاف الهجمات في الوقت الفعلي.
الطريقة الثانية تعتمد على كشف النماذج الشاذة ، في هذا الجزء يتم استعراض تقنية means- K كأفضل الطرق المعروفة للتقسيم . قد تم استخدام هذه التقنية مع بيانات ال KDD المصححه و التي تحتوي على 37 نوع من أنواع الهجوم و الذي يتم تصنيفهم الى أربع تصنيفات رئيسية وهم : (DOS , Probe , R2L,U2R) .لقياسأداءالعمل المقترح: وتستخدم معدل الاكتشافومعدل انذار كاذب.
نتائج التقييم تؤكد أن ارتفاع معدل الاكتشاف يمكن أن يتحقق مع الحفاظ على انخفاض معدل انذار كاذب. يتم تنفيذ التجميع بواسطة أداة 3.0 Cluster و قد تم عمل تصور للنتيجة الناتجة من هذه الأداة عن طريق استخدام TreeView كأداة للتصور.
هذه الرسالة تنقسم إلى ستة فصول:
عرض الباحث في الفصل الأول مقدمة عامه عن الرسالة حيث ألقى الضوء على الدوافع التي قامت عليها الرسالة والتركيز على النقطة الرئيسية للبحث و هي اقتراح تقنيات جديدة لعملية اكتشاف الاختراق بالإضافة إلى سرد أهداف الرسالة .
في الفصل الثاني قام الباحث بتقديم المفاهيم الأساسية لنظم كشف الاختراق و مكوناتها و المشاكل التي تظهر منها مثل التنبيهات الايجابية الزائفة . كما تناول باقي الفصل تقديم مراحل عرض البيانات بجانب لأنواع البيانات من حيث الأبعاد ( ثنائي الأبعاد و ثلاثية الأبعاد ) .
عرض الباحث في الفصل الثالث الدراسات السابقة للعديد من الباحثين التي تمت على الأدوات و التقنيات المرئية لاكتشاف الاختراق .
قام الباحث بتقديم طريقتين في عرض الأساليب المرئية المستخدمة لاكتشاف الاختراق ، طريقة منهم تخص استخدام تحديد التوقيع و التي تستخدم القواعد التي يتكون منها ال Snort وهو نظام اكتشاف الاختراق على الشبكةو الطريقة الأخرى تخص استخدام تحديد الانحراف و الميل عن كل ما هو طبيعي عن سلوك الشبكة.
في الفصل الرابع تم عرض نظام مقترح عام لاكتشاف التسلل الشبكي بطريقة التوقيع و كشف النماذج الشاذة.ولاكتشاف التسلل الشبكي تم اقتراح تقنيات مرئية تدعم النتائج المستخرجة من نظام اكتشاف الاختراق Snortحيث يعرض نتائج مرئية تساعد المشرف على الشبكة في التعرف على الهجمات.ولكشف النماذج الشاذة تم استخدام تقنية ال k-meansوتطبيقها بواسطة أداة Cluster 3.0 وتم التصوير المرئي لها بواسطة أداة ال Treeview.
الفصل الخامس قام فيه الباحث بتطبيق النظام المقترح في الفصل السابق حيث استخدم تقنيات مرئية جديدة مثل CSSمعPHP،استخدامJquery مع PHP،و أيضاً استخدام الدوال المرئية في برنامج الماتلابمثل دالة : bar،barh،plotmatrix وsurf .
الفصل السادس قام الباحث باستخدام تقنية ال k-means لتصنيف أنواع الهجمات التي تمت على الشبكة و من أشهر الأنواع (DoS ,Probe, R2L, U2R) .لتحديد معيار الأداء للعمل المقترح في هذا الفصل قد تم استخدام ما يسمى ب (معدل التحديد) و (معدل التنبيهات الزائفة) على عدد من المجموعات لتحديد الأفضل فيها للتصنيف، وقد تم الحصول على نتيجة أفضل عندما كانت عدد المجموعات تعادل (4). كما تم استخدام أداة Cluster 3.0 لتنفيذ عملية التصنيف وتم استخدام أداة TreeView لتقديم التصور المرئي لما تم استخراجه من استخدام تقنية k-means.