14 data netsec-ids(madsg.com)

  • 106 views
Uploaded on

 

More in: Education
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
106
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
1
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. ‫ﻜ‬ ‫ﺷ‬ ‫ا‬ ‫ا‬‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫اول‬ ‫ﻧﻴﻤﺴﺎل‬91-90 ‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬ http://dnsl.ce.sharif.edu ‫ﻲ‬ ‫ﻲ‬ ‫ﺮ‬‫ول‬ ‫ل‬
  • 2. ‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬ ‫اوﻟﻴﻪ‬ ‫ﺗﻌﺎرﻳﻒ‬ ‫و‬ ‫ﻣﻘﺪﻣﻪ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﻳﺨﭽﻪ‬ ‫ﺗﺎ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﺗﺎرﻳﺨﭽﻪ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫ﺑﻨﺪي‬‫رده‬‫ﻣﺸﺨﺼﺎت‬ ‫و‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬‫ﺳﻴﺴﺘﻢ‬ ‫ﭘﻴﺎده‬‫ﺳﻴﺴﺘﻢ‬ ‫ﺳﺎزي‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫ﻧﻤﻮﻧﻪ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﭼﻨﺪ‬ ‫ﻣﻌﺮﻓﻲ‬ ‫ﻞ‬ ‫ﻜ‬‫ذ‬ ‫ﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﺳﻴﺴﺘﻢ‬ ‫ﻣﻜﻤﻞ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ 2
  • 3. ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬(ID):‫ﻳﻚ‬ ‫در‬ ‫داده‬ ‫رخ‬ ‫وﻗﺎﻳﻊ‬ ‫ﺑﺮ‬ ‫ﻧﻈﺎرت‬ ‫ﻓﺮآﻳﻨﺪ‬ ‫از‬ ‫اﻧﺤﺮاف‬ ‫ﻣﻮارد‬ ‫ﻛﺸﻒ‬ ‫ﺟﻬﺖ‬ ‫در‬ ‫ﻛﺎﻣﭙﻴﻮﺗﺮي‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﻳﺎ‬ ‫و‬ ‫ﺷﺒﻜﻪ‬‫ز‬ ‫ﺮ‬ ‫ر‬‫ﻮ‬ ‫ﻬ‬ ‫ر‬ ‫ﺮ‬ ‫ﻮ‬ ‫ﭙ‬ ‫ﻢ‬ ‫و‬ ‫اﻣﻨﻴﺘﻲ‬ ‫ﻫﺎي‬‫ﺳﻴﺎﺳﺖ‬. ‫ﻧﻔﻮذ‬ ‫ﺺ‬ ‫ﺗﺸﺨ‬ ‫ﺘ‬ ‫ﺳ‬(IDS):‫ﺖ‬ ‫ﻠ‬ ‫ﻗﺎ‬ ‫ﺎ‬ ‫اﻓﺰا‬ ‫ﻧ‬ ‫ﻚ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬(IDS):‫ﻗﺎﺑﻠﻴﺖ‬ ‫ﺑﺎ‬ ‫اﻓﺰار‬‫ﻧﺮم‬ ‫ﻳﻚ‬ ‫ﺗﺸﺨﻴﺺ‬،‫آﺷﻜﺎرﺳﺎزي‬‫و‬‫ﭘﺎﺳﺦ‬)‫واﻛﻨﺶ‬(‫ﻏﻴﺮﻣﺠﺎز‬ ‫ﻫﺎي‬‫ﻓﻌﺎﻟﻴﺖ‬ ‫ﺑﻪ‬ ‫ﺳﻴﺴﺘ‬ ‫ﺑﺎ‬ ‫راﺑﻄﻪ‬ ‫در‬ ‫ﻧﺎﻫﻨﺠﺎر‬ ‫ﻳﺎ‬‫ﺳﻴﺴﺘﻢ‬ ‫ﺑﺎ‬ ‫راﺑﻄﻪ‬ ‫در‬ ‫ﻧﺎﻫﻨﺠﺎر‬ ‫ﻳﺎ‬‫ﻢ‬. ‫ﺳﺎل‬ ‫از‬ ‫آن‬ ‫ﺗﻮﺳﻌﻪ‬ ‫و‬ ‫ﺗﺤﻘﻴﻘﺎت‬1980‫ﺑﻌﺪ‬ ‫ﺑﻪ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu(3
  • 4. ‫ﻋﻤﻮﻣﻲ‬ ‫وﻇﺎﻳﻒ‬‫ﻳﻚ‬IDS ‫ﻋﻤﻮﻣﻲ‬ ‫وﻇﺎﻳﻒ‬‫ﻳﻚ‬IDS ‫ﺖﻫﺎ‬ ‫ﺎﻟ‬ ‫ﻓ‬ ‫ﻞ‬ ‫ﻠ‬ ‫ﺗ‬ ‫ت‬ ‫ﻧﻈﺎ‬‫ﻜﻪ‬ ‫ﺷ‬‫ﻛﺎ‬ ‫ﺘ‬ ‫ﻫﺎي‬‫ﻓﻌﺎﻟﻴﺖ‬ ‫ﺗﺤﻠﻴﻞ‬ ‫و‬ ‫ﻧﻈﺎرت‬،‫ﺷﺒﻜﻪ‬‫ﻛﺎرﺑﺮ‬ ‫و‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﭘﻴﻜﺮﺑﻨﺪي‬ ‫ﺑﺮرﺳﻲ‬‫ﻫﺎ‬‫ﭘﺬﻳﺮي‬‫آﺳﻴﺐ‬ ‫و‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ارزﻳﺎﺑﻲ‬‫ﺻﺤﺖ‬‫داده‬ ‫ﻫﺎي‬‫ﻓﺎﻳﻞ‬ ‫و‬ ‫ﺳﻴﺴﺘﻢ‬‫ﺣﺴﺎس‬ ‫اي‬ ‫اﻟﮕﻮﻫﺎي‬ ‫ﺗﺸﺨﻴﺺ‬‫ﺑﺎ‬ ‫ﻣﻨﻄﺒﻖ‬‫ﺷﺪه‬ ‫ﺷﻨﺎﺧﺘﻪ‬ ‫ﺣﻤﻼت‬ ‫اﻟﮕﻮﻫﺎي‬ ‫ﺗﺸﺨﻴﺺ‬‫ﺑﺎ‬ ‫ﻣﻨﻄﺒﻖ‬‫ﺷﺪه‬ ‫ﺷﻨﺎﺧﺘﻪ‬ ‫ﺣﻤﻼت‬ ‫ﻧﺎﻫﻨﺠﺎر‬ ‫ﻓﻌﺎﻟﻴﺖ‬ ‫اﻟﮕﻮﻫﺎي‬ ‫آﻣﺎري‬ ‫ﺗﺤﻠﻴﻞ‬ ‫ﻣﻮارد‬ ‫ﺑﻌﻀﻲ‬ ‫در‬: ‫اراﺋﻪ‬ ‫اﻓﺰاري‬‫ﻧﺮم‬ ‫ﻫﺎي‬‫وﺻﻠﻪ‬ ‫ﺧﻮدﻛﺎر‬ ‫ﻧﺼﺐ‬‫ﺷﺪه‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﻛﺎرﮔﺰاران‬ ‫اﺟﺮاي‬ ‫و‬ ‫ﻧﺼﺐ‬‫ﺗﻠﻪ‬‫ﺑﻴﺸﺘﺮ‬ ‫اﻃﻼﻋﺎت‬ ‫ﻛﺴﺐ‬ ‫ﺑﺮاي‬ ‫ﻋﺴﻞ‬ 4
  • 5. ‫دﻻﻳﻞ‬‫اﺳﺘﻔﺎده‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢﻫﺎي‬ ‫از‬ ‫دﻻﻳﻞ‬‫اﺳﺘﻔﺎده‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬‫ﺳﻴﺴﺘﻢ‬ ‫از‬ ‫زا‬‫ﻣﺸﻜﻞ‬ ‫ﻫﺎي‬‫رﻓﺘﺎر‬ ‫از‬ ‫ﺟﻠﻮﮔﻴﺮي‬‫ﺷﺪه‬ ‫ﻛﺸﻒ‬ ‫ﺧﻄﺮات‬ ‫ﻣﺸﺎﻫﺪه‬ ‫ﺑﺎ‬ ‫ﻼ‬ ‫ﺎ‬ ‫ﺎ‬ ‫ﻠ‬ ‫ﺎ‬ ‫ﺣﻤﻼت‬ ‫ﻣﻘﺪﻣﺎت‬ ‫ﺑﺎ‬ ‫ﻣﻘﺎﺑﻠﻪ‬ ‫و‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﺎزﻣﺎن‬ ‫ﻳﻚ‬ ‫ﺑﺮاي‬ ‫ﻣﻮﺟﻮد‬ ‫ﺗﻬﺪﻳﺪات‬ ‫ﺛﺒﺖ‬ ‫ﺳﺎزﻣﺎن‬ ‫ﻳﻚ‬ ‫ﺑﺮاي‬ ‫ﻣﻮﺟﻮد‬ ‫ﺗﻬﺪﻳﺪات‬ ‫ﺛﺒﺖ‬ ‫ﺗﻬﺎﺟﻤﺎت‬ ‫درﺑﺎره‬ ‫ﻣﻔﻴﺪي‬ ‫اﻃﻼﻋﺎت‬،‫ﺷﻮﻧﺪ‬‫ﻣﻲ‬ ‫واﻗﻊ‬ ‫ﻛﻪ‬ ‫ﻧﻔﻮذﻫﺎﻳﻲ‬ ‫و‬ ،‫ﻳﺎﺑﻲ‬‫ﻋﻴﺐ‬ ‫اﻣﻜﺎن‬ ‫و‬ ‫دﻫﺪ‬‫ﻣﻲ‬ ‫اراﺋﻪ‬،‫ﻛﺸﻒ‬‫ﺳﺒﺐ‬ ‫ﻫﺎي‬‫ﻋﺎﻣﻞ‬ ‫ﺗﺼﺤﻴﺢ‬ ‫و‬ ‫ا‬ ‫ا‬‫ﻛ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﻣﻲ‬ ‫ﻓﺮاﻫﻢ‬ ‫را‬ ‫ﺷﻮﻧﺪه‬‫ﻛﻨﺪ‬. 5
  • 6. ‫ﻫﺪف‬IDS ‫ﻫﺪف‬IDS ‫ﺣﺴﺎﺑﺮﺳﻲ‬:‫آن‬ ‫ﻣﺴﺌﻮل‬ ‫ﺷﺨﺺ‬ ‫ﺑﻪ‬ ‫واﻗﻌﻪ‬ ‫ﻳﻚ‬ ‫دادن‬ ‫ارﺗﺒﺎط‬ ‫ﻗﺎﺑﻠﻴﺖ‬ ‫واﻗﻌﻪ‬ )‫ﻣﻜﺎﻧﻴﺰم‬ ‫ﻧﻴﺎزﻣﻨﺪ‬‫ردﻳﺎﺑﻲ‬ ‫و‬ ‫ﺷﻨﺎﺳﺎﻳﻲ‬ ‫ﻫﺎي‬( ‫ﺰم‬ ‫ز‬‫ﻲ‬ ‫ر‬ ‫و‬ ‫ﻲ‬ ‫ﭘ‬‫ﺎﺳﺨﮕﻮﻳﻲ‬)‫واﻛﻨﺶ‬:(‫اﻧﺠﺎم‬ ‫ﺳﭙﺲ‬ ‫و‬ ‫ﺣﻤﻠﻪ‬ ‫ﺷﻨﺎﺧﺖ‬ ‫ﻗﺎﺑﻠﻴﺖ‬ ‫ﭘ‬‫ﺎﺳﺨﮕﻮﻳﻲ‬)‫واﻛﻨﺶ‬:(‫اﻧﺠﺎم‬ ‫ﺳﭙﺲ‬ ‫و‬ ‫ﺣﻤﻠﻪ‬ ‫ﺷﻨﺎﺧﺖ‬ ‫ﻗﺎﺑﻠﻴﺖ‬ ‫آن‬ ‫ﺗﻮﻗﻒ‬ ‫ﻳﺎ‬ ‫ﻣﻘﺎﺑﻠﻪ‬ ‫ﺑﺮاي‬ ‫ﻋﻤﻠﻲ‬)‫آن‬ ‫ﺗﻜﺮار‬ ‫از‬ ‫ﭘﻴﺸﮕﻴﺮي‬ ‫و‬( ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu(6
  • 7. ‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬ ‫اوﻟﻴﻪ‬ ‫ﺗﻌﺎرﻳﻒ‬ ‫و‬ ‫ﻣﻘﺪﻣﻪ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﺗﺎرﻳﺨﭽﻪ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﺗﺎرﻳﺨﭽﻪ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫رده‬‫ﺑﻨﺪي‬‫ﻣﺸﺨﺼﺎت‬ ‫و‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬‫ﺳﻴﺴﺘﻢ‬ ‫ﭘﻴﺎده‬‫ﺳﻴﺴﺘﻢ‬ ‫ﺳﺎزي‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫ﻧﻤﻮﻧﻪ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﭼﻨﺪ‬ ‫ﻣﻌﺮﻓﻲ‬ ‫ﻞ‬ ‫ﻜ‬‫ذ‬ ‫ﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﺳﻴﺴﺘﻢ‬ ‫ﻣﻜﻤﻞ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ 7
  • 8. ‫ﺗﺎرﻳﺨﭽﻪ‬‫ﺗﺎرﻳﺨﭽﻪ‬ ‫ﻣﻤﻴﺰي‬:‫ﺳﻴﺴﺘﻢ‬ ‫وﻗﺎﻳﻊ‬ ‫از‬ ‫ﺗﺎرﻳﺨ‬ ‫ﺳﺎﺑﻘﻪ‬ ‫ﻳﻚ‬ ‫ﻣﺮور‬ ‫و‬ ‫ﺛﺒﺖ‬ ،‫ﺗﻮﻟﻴﺪ‬ ‫ﻓﺮاﻳﻨﺪ‬ ‫ﻣﻤﻴﺰي‬:‫ﺳﻴﺴﺘﻢ‬ ‫وﻗﺎﻳﻊ‬ ‫از‬ ‫ﺗﺎرﻳﺨﻲ‬ ‫ﺳﺎﺑﻘﻪ‬ ‫ﻳﻚ‬ ‫ﻣﺮور‬ ‫و‬ ‫ﺛﺒﺖ‬ ،‫ﺗﻮﻟﻴﺪ‬ ‫ﻓﺮاﻳﻨﺪ‬ )‫دﻫﻪ‬ ‫اواﺧﺮ‬70‫دﻫﻪ‬ ‫اواﻳﻞ‬ ‫و‬80( ‫ﺧﻄﺎ‬ ‫ﺑﺮوز‬ ‫ﻣﻮﻗﻊ‬ ‫در‬ ‫ﺗﺮﻣﻴﻢ‬‫ﺮوز‬ ‫ﻊ‬ ‫ﻮ‬ ‫ر‬ ‫ﻢ‬ ‫ﺮ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫وﻗﺎﻳﻊ‬ ‫ﺑﺎزﺳﺎزي‬ ‫اﺳﺘﻔﺎده‬ ‫ﺳﻮء‬ ‫ﻛﺸﻒ‬‫ﻫﺎ‬ ‫ﺷﺪه‬ ‫ﺛﺒﺖ‬ ‫اﻃﻼﻋﺎت‬ ‫روﻳﺪاد‬ ‫ﺗﺎرﻳﺦ‬ ‫و‬ ‫زﻣﺎن‬ ‫روﻳﺪاد‬ ‫آن‬ ‫ﻛﻨﻨﺪه‬ ‫اﻳﺠﺎد‬ ‫ﻛﺎرﺑﺮ‬ ‫ﺷﻨﺎﺳﻪ‬)‫ﻳﻜﺘﺎ‬ ‫ﻛﺎرﺑﺮ‬ ‫ﻫﺮ‬ ‫ﺑﺮاي‬ ‫ﺑﺎﻳﺪ‬ ‫ﺷﻨﺎﺳﻪ‬ ‫اﻳﻦ‬ ‫ﺑﺎﺷﺪ‬( ‫ع‬ ‫ﻧ‬‫ﻳﺎ‬ ‫ﻳﺪاد‬‫ﺣﺎدﺛﻪ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﻧﻮع‬‫ﻳﺎ‬ ‫روﻳﺪاد‬‫ﺣﺎدﺛﻪ‬ ‫آن‬ ‫ﺷﻜﺴﺖ‬ ‫ﻳﺎ‬ ‫ﻣﻮﻓﻘﻴﺖ‬‫روﻳﺪاد‬ 8
  • 9. ‫ﺗﺎرﻳﺨﭽﻪ‬–‫اول‬ ‫ﻧﺴﻞ‬ ‫ﺗﺎرﻳﺨﭽﻪ‬‫اول‬ ‫ﻧﺴﻞ‬ 1980 ‫ﺳﻴﺴﺘﻢ‬‫ﻣﻴﺰﺑﺎن‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻫﺎي‬ ‫ﺎ‬ ‫ا‬ ‫آ‬‫ﻞ‬ ‫ﺎ‬ ‫ﻄ‬‫ﻞ‬ ‫ﻠ‬ ‫ﻫﺎ‬‫داده‬ ‫آوري‬‫ﺟﻤﻊ‬‫ﻋﺎﻣﻞ‬‫ﺳﻴﺴﺘﻢ‬ ‫ﺳﻄﺢ‬ ‫در‬‫ﺟﻬﺖ‬‫ﺗﺤﻠﻴﻞ‬ ‫ﻧﺎﻫﻨﺠﺎري‬ ‫ﻣﻔﻬﻮم‬ ‫ﭘﻴﺪاﻳﺶ‬)anomaly(‫ﺳﻮء‬ ‫و‬‫اﺳﺘﻔﺎده‬)misuse( ‫ﻣﺜﺎل‬:‫ﺳﻴﺴﺘﻢ‬IDES ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu(9
  • 10. ‫ﺗﺎرﻳﺨﭽﻪ‬–‫اول‬ ‫ﻧﺴﻞ‬ ‫ﺗﺎرﻳﺨﭽﻪ‬‫اول‬ ‫ﻧﺴﻞ‬ ‫ﻧﺎﻫﻨﺠﺎري‬ ‫ﺗﺸﺨﻴﺺ‬:‫وﻳﮋﮔﻲ‬ ‫اﺳﺎس‬ ‫ﺑﺮ‬ ‫ﻛﺎرﺑﺮ‬ ‫ﻫﺮ‬ ‫ﺑﺮاي‬ ‫ﻧﻤﺎﻳﻪ‬ ‫ﺗﻮﻟﻴﺪ‬‫ﻫﺎ‬ )‫ﻓﺎﻳﻞ‬ ‫ﺗﻌﺪاد‬ ،‫ﻧﺸﺴﺖ‬ ‫ﻣﺪت‬ ،‫ﺗﺎﻳﭗ‬ ‫ﻧﺮخ‬‫ﻓﺮﻣﺎن‬ ،‫ﺷﺪه‬ ‫ﺑﺎز‬ ‫ﻫﺎي‬‫ﻫﺎي‬ ‫ﺷ‬ ‫ﺎ‬( ‫و‬ ‫ﺷﺪه‬ ‫ﺻﺎدر‬(... ‫ﺳﻮء‬ ‫ﺗﺸﺨﻴﺺ‬‫اﺳﺘﻔﺎده‬:‫آﺳﻴﺐ‬ ‫ﻧﻘﺎط‬ ‫ﺷﻨﺎﺧﺖ‬‫ﺳﻴﺴﺘﻢ‬ ‫ﭘﺬﻳﺮ‬ ‫ﻇﻬﻮر‬‫ﺷﺒﻜﻪ‬‫ﻫﺎي‬‫دور‬ ‫راه‬ ‫از‬ ‫دﺳﺘﺮﺳﻲ‬ ‫ﻗﺎﺑﻠﻴﺖ‬ ‫اﻓﺰاﻳﺶ‬ ‫و‬ ‫ﻛﺎﻣﭙﻴﻮﺗﺮي‬ ‫ﻜ‬ ‫ﺷ‬ ‫ﺎ‬ ‫ذ‬ ‫ﻔ‬ ‫ﻼ‬ ‫ا‬‫ا‬ ‫ﻬﻮر‬‫ﺒ‬‫ي‬‫ور‬ ‫ر‬ ‫ز‬ ‫ﻲ‬ ‫ﺮ‬ ‫ﻴ‬ ‫ﺑ‬ ‫ﻳﺶ‬ ‫ﺰ‬ ‫و‬ ‫ﺮي‬ ‫ﭙﻴﻮ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﺷﺒﻜﻪ‬ ‫ﻧﻔﻮذﻫﺎي‬ ‫و‬ ‫ﺣﻤﻼت‬ ‫ﭘﻴﺪاﻳﺶ‬‫اي‬ 10
  • 11. ‫ﺗﺎرﻳﺨﭽﻪ‬–‫دوم‬ ‫ﻧﺴﻞ‬ ‫ﺗﺎرﻳﺨﭽﻪ‬‫دوم‬ ‫ﻧﺴﻞ‬ 1990 1990 ‫ﺳﻴﺴﺘﻢ‬‫ﺷﺒﻜﻪ‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻫﺎي‬ ‫ﺎ‬ ‫ا‬ ‫آ‬‫ﻜ‬ ‫ﻚ‬ ‫اﻓ‬ ‫ا‬ ‫ﻫﺎ‬‫داده‬ ‫آوري‬‫ﺟﻤﻊ‬‫ﺷﺒﻜﻪ‬ ‫ﺗﺮاﻓﻴﻚ‬ ‫از‬ ‫ﻧﺎﻫﻨﺠﺎري‬ ‫ﺗﺸﺨﻴﺺ‬:‫وﻳﮋﮔﻲ‬ ‫اﺳﺘﺨﺮاج‬‫ﺷﺒﻜﻪ‬ ‫در‬ ‫ﻋﺎدي‬ ‫ﺗﺮاﻓﻴﻚ‬ ‫ﻫﺎي‬ ‫اﺳﺘﻔﺎده‬ ‫ﺳﻮء‬ ‫ﺗﺸﺨﻴﺺ‬:‫ﺑﺮ‬ ‫آﻧﻬﺎ‬ ‫ﺗﺎﺛﻴﺮ‬ ‫و‬ ‫ﺷﺒﻜﻪ‬ ‫ﺣﻤﻼت‬ ‫ﺷﻨﺎﺧﺖ‬ ‫ﺷﺒﻜﻪ‬ ‫ﺗﺮاﻓﻴﻚ‬ ‫و‬ ‫اﻳﻨﺘﺮﻧﺖ‬ ‫ﺗﻮﺳﻌﻪ‬ ‫و‬ ‫رﺷﺪ‬‫ﺳﻴﺴﺘﻢ‬‫ﻫﺎي‬‫ﺑﺎز‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﻣﺜﺎل‬:NSM 11
  • 12. ‫ﺗﺎرﻳﺨﭽﻪ‬–‫ﺳﻮم‬ ‫ﻧﺴﻞ‬ ‫ﺗﺎرﻳﺨﭽﻪ‬‫ﺳﻮم‬ ‫ﻧﺴﻞ‬ ‫ﻧﺎﻫﻤﮕﻮن‬ ‫ﻣﻨﺎﺑﻊ‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬‫ﺳﻴﺴﺘﻢ‬ ‫داده‬ ‫آوري‬ ‫ﺟﻤﻊ‬‫ﺷﺒﻜﻪ‬ ‫از‬ ‫ﻫﻢ‬ ‫و‬ ‫ﻣﻴﺰﺑﺎن‬ ‫از‬ ‫ﻫﻢ‬ ‫ﻫﺎ‬ ‫داده‬ ‫آوري‬ ‫ﺟﻤﻊ‬‫ﺷﺒﻜﻪ‬ ‫از‬ ‫ﻫﻢ‬ ‫و‬ ‫ﻣﻴﺰﺑﺎن‬ ‫از‬ ‫ﻫﻢ‬ ‫ﻫﺎ‬ ‫ﺗﻮزﻳﻊ‬ ‫ﻣﻌﻤﺎري‬‫ﺷﺪه‬)‫ﺟﻤﻊ‬ ‫در‬‫ﺗﺤﻠﻴﻞ‬ ‫و‬ ‫آوري‬( ‫ﺳﻴﺴﺘﻢ‬‫ﻋﺎﻣﻞ‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻫﺎي‬)Agent( ‫ﺳﻴﺴﺘﻢ‬‫ﻋﺎﻣﻞ‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻫﺎي‬)Agent( ‫ﻣﺜﺎل‬:AAFID،DIDS‫و‬EMERALD ‫ﻣﺜﺎل‬:AAFID،DIDS‫و‬EMERALD ‫ﻛﺎ‬ ‫ﺎ‬ ‫ﺗ‬ ‫ﻻ‬ ‫ﻇ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﻛﺎرﺑﺮدي‬ ‫و‬ ‫ﺗﺠﺎري‬ ‫ﻣﺤﺼﻮﻻت‬ ‫ﻇﻬﻮر‬ 12
  • 13. ‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬ ‫اوﻟﻴﻪ‬ ‫ﺗﻌﺎرﻳﻒ‬ ‫و‬ ‫ﻣﻘﺪﻣﻪ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﻳﺨﭽﻪ‬ ‫ﺗﺎ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﺗﺎرﻳﺨﭽﻪ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫رده‬‫ﺑﻨﺪي‬‫ﻣﺸﺨﺼﺎت‬ ‫و‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬‫ﺳﻴﺴﺘﻢ‬ ‫ﭘﻴﺎده‬‫ﺳﻴﺴﺘﻢ‬ ‫ﺳﺎزي‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫ﻧﻤﻮﻧﻪ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﭼﻨﺪ‬ ‫ﻣﻌﺮﻓﻲ‬ ‫ﻞ‬ ‫ﻜ‬‫ذ‬ ‫ﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﺳﻴﺴﺘﻢ‬ ‫ﻣﻜﻤﻞ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ 13
  • 14. ‫ﻗﺮارﮔﻴﺮي‬ ‫آراﻳﺶ‬IDS‫ﺷﺒﻜﻪ‬ ‫در‬ ‫ﻗﺮارﮔﻴﺮي‬ ‫آراﻳﺶ‬IDS‫ﺷﺒﻜﻪ‬ ‫در‬ IDS‫ﺑﻴﺮوﻧﻲ‬ ‫ﺷﺒﻜﻪ‬ S‫ﻲ‬ ‫ﺑﻴﺮو‬ ‫ﺒ‬ IDS‫داﺧﻠﻲ‬ ‫ﺷﺒﻜﻪ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu(14
  • 15. ‫ﻳﻚ‬ ‫ﻣﻌﻤﺎري‬IDS ‫ﻳﻚ‬ ‫ﻣﻌﻤﺎري‬IDS ‫ﺷﺒﻜﻪ‬ ‫ﺗﺮاﻓﻴﻚ‬ ‫ﻫﺎ‬ ‫روﻳﺪادﻧﺎﻣﻪ‬ ‫ﻓﺮاﻫﻢ‬‫داده‬ ‫ﻛﻨﻨﺪه‬‫ﻫﺎ‬ (Data Provider) ‫ﭘﻴﺶ‬‫ﭘﺮدازﻧﺪه‬ (Preprocessor) ‫رﻓﺘﺎرﻫﺎي‬ ‫ﺎل‬ ‫ﻧ‬ ‫ﺎ‬ ‫ﻠﻪ‬ (Analysis & Detection Engine) ‫و‬ ‫ﺗﺤﻠﻴﻞ‬ ‫ﻣﻮﺗﻮر‬‫ﺗﺸﺨﻴﺺ‬ (Analysis & Detection Engine) ‫ﭘﺎﺳﺦ‬‫دﻫﻲ‬ (Response) ‫ﻧﺮﻣﺎل‬ ‫ﻳﺎ‬ ‫ﺣﻤﻠﻪ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( (Analysis & Detection Engine)(Analysis & Detection Engine) (Response) 15
  • 16. ‫رده‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢﻫﺎي‬ ‫ﻛﻠﻲ‬ ‫ردهﺑﻨﺪي‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬‫ﺳﻴﺴﺘﻢ‬ ‫ﻛﻠﻲ‬ ‫ﺑﻨﺪي‬ ‫ﺳﻮءاﺳﺘﻔﺎده‬ ‫ﺺ‬ ‫ﺗﺸﺨ‬ ‫ﺗﺤﻠﻴﻞ‬ ‫روش‬ ‫ﺳﻮءاﺳﺘﻔﺎده‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻧﺎﻫﻨﺠﺎري‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻛﺎرﺑﺮدي‬ ‫ﺑﺮﻧﺎﻣﻪ‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫اﻃﻼﻋﺎت‬ ‫ﻣﻨﺒﻊ‬ ‫ﻛﺎرﺑﺮدي‬ ‫ﺑﺮﻧﺎﻣﻪ‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻣﻴﺰﺑﺎن‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﺷﺒﻜﻪ‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻧﻔﻮذ‬ ‫ﻧﻔﻮذ‬ ‫ﺑﻪ‬ ‫واﻛﻨﺶ‬ ‫ﻓﻌﺎل‬ ‫ﻣﻨﻔﻌﻞ‬ ‫ﮓ‬ ‫ﻼ‬ ‫ﺘ‬ ‫ﺎ‬ ‫زﻣﺎﻧ‬‫ﺒﻨﺪي‬‫ﺗﺤﻠﻴﻞ‬ ‫ﺑﻼدرﻧﮓ‬ ‫اي‬‫دوره‬ ‫ﻣﺘﻤﺮﻛﺰ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﺳﻴﺴﺘﻢ‬ ‫ﻣﻌﻤﺎري‬ ‫ﺰ‬ ‫ﺮ‬ ‫ﺷﺪه‬‫ﺗﻮزﻳﻊ‬ 16
  • 17. ‫ﺟﻤﻊ‬‫اﻃﻼﻋﺎت‬ ‫ﺟﻤﻊآوري‬‫اﻃﻼﻋﺎت‬ ‫آوري‬ ‫ﺑﻪ‬ ‫آﻧﻬﺎ‬ ‫ﺗﺤﻮﻳﻞ‬ ‫و‬ ‫اﻃﻼﻋﺎﺗﻲ‬ ‫ﻣﻨﺒﻊ‬ ‫ﻳﻚ‬ ‫از‬ ‫داده‬ ‫آوري‬‫ﺟﻤﻊ‬ ‫ﻋﻤﻠﻴﺎت‬ ‫ﭘﻴﺶ‬‫و‬ ‫ﭘﺮدازﻧﺪه‬‫ﺗﺤﻠﻴﻞ‬ ‫ﻣﻮﺗﻮر‬ ‫ﭘﻴﺶ‬‫و‬ ‫ز‬ ‫ﭘﺮ‬‫ﻴﻞ‬ ‫ﻮر‬ ‫ﻮ‬ •‫ﺷﺒﻜﻪ‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬‫ﺷﺒﻜﻪ‬ ‫ﺗﺮاﻓﻴﻚ‬ •‫ﻣﻴﺰﺑﺎن‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬‫ﻫﺎ‬‫روﻳﺪادﻧﺎﻣﻪ‬ ،‫ﻋﺎﻣﻞ‬‫ﺳﻴﺴﺘﻢ‬ ‫ﻣﻤﻴﺰي‬ ‫ﻫﺎي‬‫دﻧﺒﺎﻟﻪ‬ •‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬‫ﺑﺮﻧﺎﻣﻪ‬‫ﻛﺎرﺑﺮد‬‫ي‬‫وب‬ ‫ﻛﺎرﮔﺰار‬ ‫روﻳﺪادﻧﺎﻣﻪ‬ ،‫ﻫﺎ‬‫داده‬‫ﭘﺎﻳﮕﺎه‬ ‫روﻳﺪادﻧﺎﻣﻪ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu(17
  • 18. ‫ﺟﻤﻊ‬‫اﻃﻼﻋﺎت‬ ‫آوري‬)‫اداﻣﻪ‬( ‫ﺟﻤﻊ‬‫اﻃﻼﻋﺎت‬ ‫آوري‬)‫اداﻣﻪ‬( ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬‫ﺷﺒﻜﻪ‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻣﺰاﻳ‬‫ﺎ‬: ‫ﺑﺰرگ‬ ‫ﺷﺒﻜﻪ‬ ‫ﻳﻚ‬ ‫ﺑﺮ‬ ‫ﻧﻈﺎرت‬ ‫ﻗﺎﺑﻠﻴﺖ‬ ‫ﺷﺒﻜﻪ‬ ‫ﻣﻌﻤﻮﻟﻲ‬ ‫ﻋﻤﻠﻜﺮد‬ ‫ﺑﺎ‬ ‫ﺗﺪاﺧﻞ‬ ‫ﻋﺪم‬ ‫ﻧﮕﻪ‬ ‫ﻣﺨﻔﻲ‬ ‫ﻗﺎﺑﻠﻴﺖ‬‫ﻣﻬﺎﺟﻤﺎن‬ ‫دﻳﺪ‬ ‫از‬ ‫ﺷﺪن‬ ‫داﺷﺘﻪ‬ ‫ﻣﻌﺎﻳﺐ‬: ‫ﺳﻨﮕﻴﻦ‬ ‫ﺗﺮاﻓﻴﻚ‬ ‫در‬ ‫ﺻﺤﻴﺢ‬ ‫ﻋﻤﻠﻜﺮد‬ ‫ﻋﺪم‬ ‫ﺷﺪه‬ ‫رﻣﺰ‬ ‫اﻃﻼﻋﺎت‬ ‫ﺗﺤﻠﻴﻞ‬ ‫در‬ ‫ﺗﻮاﻧﺎﻳﻲ‬ ‫ﻋﺪم‬)‫ﻣﺎﻧﻨﺪ‬VPN( ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﻲ‬ ‫م‬ 18
  • 19. ‫ﺟﻤﻊ‬‫اﻃﻼﻋﺎت‬ ‫آوري‬)‫اداﻣﻪ‬( ‫ﺟﻤﻊ‬‫اﻃﻼﻋﺎت‬ ‫آوري‬)‫اداﻣﻪ‬( ‫ﻣﻴﺰﺑﺎن‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻧﻈﺎرت‬ ‫ﻣﺰاﻳ‬‫ﺎ‬: ‫ﻧﻴﺴﺘﻨﺪ‬ ‫ﺷﻨﺎﺳﺎﻳﻲ‬ ‫ﻗﺎﺑﻞ‬ ‫ﺷﺒﻜﻪ‬ ‫ﻃﺮﻳﻖ‬ ‫از‬ ‫ﻛﻪ‬ ‫ﺣﻤﻼﺗﻲ‬ ‫ﻛﺸﻒ‬. ‫ﺷﺪه‬ ‫رﻣﺰ‬ ‫آن‬ ‫در‬ ‫ﺷﺒﻜﻪ‬ ‫ﺗﺮاﻓﻴﻚ‬ ‫ﻛﻪ‬ ‫ﻣﺤﻴﻄﻲ‬ ‫در‬ ‫ﻋﻤﻞ‬ ‫ﻗﺎﺑﻠﻴﺖ‬ ‫ﻣﻌﺎﻳﺐ‬: ‫ﺣﻤﻠﻪ‬ ‫از‬ ‫ﺑﺨﺸﻲ‬ ‫در‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﺷﺪن‬ ‫ﻏﻴﺮﻓﻌﺎل‬ ‫اﻣﻜﺎن‬ ‫اﻃﻼﻋﺎت‬ ‫ذﺧﻴﺮه‬ ‫ﺑﺮاي‬ ‫زﻳﺎد‬ ‫اﻧﺒﺎره‬ ‫ﺑﻪ‬ ‫ﻧﻴﺎز‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﻣﻴﺰﺑﺎن‬ ‫ﺑﺮاي‬ ‫ﻣﺤﺎﺳﺒﺎﺗﻲ‬ ‫ﺳﺮﺑﺎر‬ 19
  • 20. ‫ﺗﺤﻠﻴﻞ‬ ‫زﻣﺎﻧﺒﻨﺪي‬‫ﺗﺤﻠﻴﻞ‬ ‫زﻣﺎﻧﺒﻨﺪي‬ ‫زﻣﺎﻧ‬‫ﺒﻨﺪي‬)Timing:(‫ﻣﻨﺒﻊ‬ ‫در‬ ‫وﻗﺎﻳﻊ‬ ‫رﺧﺪاد‬ ‫ﺑﻴﻦ‬ ‫زﻣﺎﻧﻲ‬ ‫ﻓﺎﺻﻠﻪ‬ ‫ﺗﺤﻠﻴﻞ‬ ‫ﻣﻮﺗﻮر‬ ‫ﺗﻮﺳﻂ‬ ‫آﻧﻬﺎ‬ ‫ﺗﺤﻠﻴﻞ‬ ‫ﺗﺎ‬ ‫اﻃﻼﻋﺎت‬‫ﻴﻞ‬ ‫ﻮر‬ ‫ﻮ‬ ‫ﻮ‬ ‫ﻬ‬ ‫آ‬ ‫ﻴﻞ‬ ‫ت‬ ‫ﻼ‬ ‫ا‬ ‫زﻣﺎﻧ‬‫ﺒﻨﺪي‬‫اي‬‫دﺳﺘﻪ‬‫اي‬ ‫دوره‬ ‫ﻳﺎ‬(Batch) ‫ﻓﻌﺎل‬ ‫ﮔﻮﻳﻲ‬‫ﭘﺎﺳﺦ‬ ‫اﻣﻜﺎن‬ ‫ﻋﺪم‬ ،‫وﻗﻮع‬ ‫از‬ ‫ﭘﺲ‬ ‫ﻧﻔﻮذ‬ ‫ﻛﺸﻒ‬ ‫زﻣﺎن‬‫ﺑﻨﺪي‬‫ﻧﮓ‬ ‫ﺑﻼد‬)Real‐time( ‫زﻣﺎن‬‫ﺑﻨﺪي‬‫ﺑﻼدرﻧﮓ‬)Real‐time( ‫اﻣﻜﺎن‬ ‫وﺟﻮد‬ ،‫آن‬ ‫از‬ ‫ﻗﺒﻞ‬ ‫ﺣﺘﻲ‬ ‫ﻳﺎ‬ ‫و‬ ‫وﻗﻮع‬ ‫ﻣﺤﺾ‬ ‫ﺑﻪ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ذ‬ ‫ﻧﻔ‬ ‫ا‬ ‫ﮔ‬ ‫ﺎل‬ ‫ﻓ‬ ‫ﺦﮔ‬ ‫ﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﻧﻔﻮذ‬ ‫از‬ ‫ﮔﻴﺮي‬‫ﭘﻴﺶ‬ ‫و‬ ‫ﻓﻌﺎل‬ ‫ﮔﻮﻳﻲ‬‫ﭘﺎﺳﺦ‬ 20
  • 21. ‫ﺗﺸﺨﻴﺺ‬ ‫و‬ ‫ﺗﺤﻠﻴﻞ‬‫ﺗﺸﺨﻴﺺ‬ ‫و‬ ‫ﺗﺤﻠﻴﻞ‬ ‫اﻣﻨﻴﺘﻲ‬ ‫ﻋﻼﺋﻢ‬ ‫ﺟﺴﺘﺠﻮي‬ ‫و‬ ‫اﻃﻼﻋﺎت‬ ‫دﻫﻲ‬‫ﺳﺎزﻣﺎن‬ ‫ﻠ‬ ‫ﻼ‬ •‫اﺳﺘﻔﺎده‬ ‫ﺳﻮء‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺎ‬ ‫ﻧﺎﻫﻨ‬ ‫ﺗﺸﺨ‬ ‫ﺣﻤﻠﻪ‬ ‫ﻋﻼﺋﻢ‬ ‫ﺎ‬ ‫ﻓ‬‫ﺎل‬ ‫ﻏ‬ •‫ﻧﺎﻫﻨﺠﺎري‬ ‫ﺗﺸﺨﻴﺺ‬‫رﻓﺘﺎر‬‫ﻏﻴﺮﻧﺮﻣﺎل‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu(21
  • 22. ‫ﺗﺸﺨﻴﺺ‬ ‫و‬ ‫ﺗﺤﻠﻴﻞ‬ )‫اﺳﺘﻔﺎده‬ ‫ﺳﻮء‬ ‫ﺗﺸﺨﻴﺺ‬( )‫اﺳﺘﻔﺎده‬ ‫ﺳﻮء‬ ‫ﺗﺸﺨﻴﺺ‬( ‫ﻣﺸﺨﺼﺎت‬ ‫ﺷ‬‫ﻣﻮﺟﻮد‬ ‫ﺣﻤﻼت‬ ‫ﻨﺎﺧﺖ‬ ‫ﺗﺤﻠﻴﻞ‬ ‫ﻣﻮﺗﻮر‬ ‫ﺑﺮاي‬ ‫ﺣﻤﻼت‬ ‫اﻟﮕﻮي‬ ‫ﺗﻌﺮﻳﻒ‬ ‫ﻣﺠﻤﻮﻋﻪ‬ ‫ﺟﺴﺘﺠﻮي‬‫ﺷﺪه‬ ‫ﺗﻌﺮﻳﻒ‬ ‫ﭘﻴﺶ‬ ‫از‬ ‫اﻟﮕﻮي‬ ‫ﻳﻚ‬ ‫ﺑﺎ‬ ‫ﻛﻪ‬ ‫وﻗﺎﻳﻊ‬ ‫از‬ ‫اي‬ ‫دارد‬ ‫ﻣﻄﺎﺑﻘﺖ‬. ‫ﺣﻤﻠﻪ‬ ‫اﻟﮕﻮﻫﺎي‬ ‫ﺑﺮوزرﺳﺎﻧﻲ‬ ‫ﺑﻪ‬ ‫ﻧﻴﺎز‬ ‫ﺎ‬ ‫ﺎ‬‫ﺎ‬‫ا‬ ‫ﮔ‬ ‫ﺎ‬ ‫ﭘﻴﺎده‬ ‫روﺷﻬﺎي‬‫ﺳﺎزي‬:‫ﮔﺬار‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫روﺷﻬﺎي‬ ،‫ﺧﺒﺮه‬ ‫ﺳﻴﺴﺘﻢ‬ ‫و‬ ‫ﺣﺎﻻت‬... ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﺳﻴﺴﺘﻢ‬ ‫در‬ ‫ﻛﺎرﺑﺮد‬‫ﺗﺠﺎري‬ ‫ﻫﺎي‬IDS 22
  • 23. ‫ﺗﺸﺨﻴﺺ‬ ‫و‬ ‫ﺗﺤﻠﻴﻞ‬ )‫ﻧﺎﻫﻨﺠﺎري‬ ‫ﺗﺸﺨﻴﺺ‬( )‫ﻧﺎﻫﻨﺠﺎري‬ ‫ﺗﺸﺨﻴﺺ‬( ‫ﻣﺸﺨﺼﺎت‬ ‫ﺷ‬‫ﺳﻴﺴﺘﻢ‬ ‫ﻧﺮﻣﺎل‬ ‫ﻋﻤﻠﻜﺮد‬ ‫ﻨﺎﺧﺖ‬ ‫ﺷ‬‫ﺳﻴﺴﺘﻢ‬ ‫ﻧﺮﻣﺎل‬ ‫ﻋﻤﻠﻜﺮد‬ ‫ﻨﺎﺧﺖ‬ ‫ﻧﻤﺎﻳﻪ‬ ‫ﺗﻬﻴﻪ‬‫ﺗﺤﻠﻴﻞ‬ ‫ﻣﻮﺗﻮر‬ ‫ﺑﺮاي‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﻧﺮﻣﺎل‬ ‫رﻓﺘﺎر‬ ‫از‬ ‫ﻫﺎﻳﻲ‬ ‫ﻏﻴﺮﻧﺮﻣﺎل‬ ‫ﻓﻌﺎﻟﻴﺖ‬ ‫ﺟﺴﺘﺠﻮي‬‫ﻏﻴﺮﻧﺮﻣﺎل‬ ‫ﻓﻌﺎﻟﻴﺖ‬ ‫ﺟﺴﺘﺠﻮي‬ ‫؟‬ ‫اﺳﺖ‬ ‫ﺣﻤﻠﻪ‬ ‫ﻳﻚ‬ ‫ﻧﺮﻣﺎل‬ ‫ﻏﻴﺮ‬ ‫رﻓﺘﺎر‬ ‫ﻫﺮ‬ ‫آﻳﺎ‬ ‫ﭘﻴﺎده‬ ‫روﺷﻬﺎي‬‫ﺳﺎزي‬:‫ﺷﺒﻜﻪ‬ ،‫آﻣﺎري‬ ‫روﺷﻬﺎي‬‫و‬ ‫ﻋﺼﺒﻲ‬ ‫ﻫﺎي‬... ‫ﺎ‬ ‫ﺎ‬ ‫ﺎ‬ ‫ﺎ‬ ‫ﺖ‬ ‫ﻳ‬ ‫ل‬ ‫ﺮ‬ ‫ﻴﺮ‬ ‫ر‬ ‫ر‬ ‫ﺮ‬ ‫ﻳ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﺟﻨﺒﻪ‬ ‫ﺑﻴﺸﺘﺮ‬‫ﻛﺎرﺑﺮدي‬ ‫ﺗﺎ‬ ‫ﺗﺤﻘﻴﻘﺎﺗﻲ‬ ‫ﻫﺎي‬ 23
  • 24. ‫ﺗﺸﺨﻴﺺ‬ ‫و‬ ‫ﺗﺤﻠﻴﻞ‬ )‫ﻣﻘﺎﻳﺴﻪ‬( )‫ﻣﻘﺎﻳﺴﻪ‬( ‫ﺎ‬ ‫ا‬‫ﺎ‬ ‫ﺎ‬ ‫ﺳﻮءاﺳﺘﻔﺎده‬ ‫ﺗﺸﺨﻴﺺ‬‫ﻧﺎﻫﻨﺠﺎري‬ ‫ﺗﺸﺨﻴﺺ‬ Anomaly Detection              Misuse Detection  ‫در‬ ‫ﻓﻘﻂ‬ ‫ﺗﺸﺨﻴﺺ‬‫ﺣﺪ‬‫ﺣﻤﻼت‬ ‫ﺷﺪه‬ ‫ﺷﻨﺎﺧﺘﻪ‬ ‫ﻧﺎﺷﻨﺎﺧﺘﻪ‬ ‫ﺣﻤﻼت‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺷﺪه‬ ‫ﺷﻨﺎﺧﺘﻪ‬ ‫ﺧﻄﺎي‬ ‫درﺻﺪ‬ ‫ﺑﺎﻻﺑﻮدن‬‫ﻏﻠﻂ‬ ‫ﻣﺜﺒﺖ‬ ‫و‬ ‫ﺳﺮﻳﻊ‬ ‫ﺗﺸﺨﻴﺺ‬‫ﻣﻄﻤﺌﻦ‬‫ﺑ‬‫ﺎ‬‫ﺧﻄﺎي‬ ‫ﻛﻤﺘﺮ‬‫ﻛﻤﺘﺮ‬ ‫ﻏﻠﻂ‬ ‫ﻣﺜﺒﺖ‬:‫ﻧﺎدرﺳﺖ‬ ‫ﺗﺸﺨﻴﺺ‬‫ﺣﻤﻠﻪ‬ ‫ﺑﻪ‬ ‫ﻧﺮﻣﺎل‬)‫اﺳﺖ‬ ‫ﻧﺮﻣﺎل‬ ‫وﻟﻲ‬ ‫ﺷﺪه‬ ‫داده‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺣﻤﻠﻪ‬( ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﻏﻠﻂ‬ ‫ﻣﻨﻔﻲ‬:‫ﺑﻪ‬ ‫ﺣﻤﻠﻪ‬ ‫ﻧﺎدرﺳﺖ‬ ‫ﺗﺸﺨﻴﺺ‬‫ﻧﺮﻣﺎل‬)‫اﺳﺖ‬ ‫ﺣﻤﻠﻪ‬ ‫وﻟﻲ‬ ‫ﺷﺪه‬ ‫داده‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻧﺮﻣﺎل‬( 24
  • 25. ‫ﺗﺸﺨﻴﺺ‬ ‫و‬ ‫ﺗﺤﻠﻴﻞ‬ )‫ﺗﺮﻛﻴﺐ‬( )‫ﺗﺮﻛﻴﺐ‬( ‫ﺗﺮﻛﻴﺒ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﻳﻚ‬ ‫ﻧﻤﺎي‬ ‫ﺗﺮﻛﻴﺒﻲ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﻳﻚ‬ ‫ﻧﻤﺎي‬ ‫اﻃﻼﻋﺎت‬ ‫ﻣﻨﺒﻊ‬ ‫ﺗﺸﺨﻴﺺ‬‫دﻫﻨﺪه‬‫ﻧﺎﻫﻨﺠﺎري‬‫ﺳﻮءاﺳﺘﻔﺎده‬ ‫دﻫﻨﺪه‬‫ﺗﺸﺨﻴﺺ‬ )‫ﭘﺮوﻓﺎﻳﻞ‬ ‫ﻣﻮﺗﻮر‬()‫اﻟﮕﻮ‬ ‫اﻧﻄﺒﺎق‬ ‫ﻣﻮﺗﻮر‬( ‫ﭘﺎﺳﺦ‬‫دﻫﻨﺪه‬‫اﻟﮕﻮي‬‫اﻟﮕﻮي‬ ‫ﻞ‬ ‫ﻓﺎ‬‫ﻫﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﺣﻤﻼت‬ ‫ﭘﺮوﻓﺎﻳﻞ‬‫ﻫﺎ‬ 25
  • 26. ‫ﻧﻔﻮذ‬ ‫ﺑﻪ‬ ‫واﻛﻨﺶ‬‫ﻧﻔﻮذ‬ ‫ﺑﻪ‬ ‫واﻛﻨﺶ‬ ‫ﻓﻌﺎل‬)Active:(‫ﺧﻮدﻛﺎر‬ ‫ﺻﻮرت‬ ‫ﺑﻪ‬ ‫واﻛﻨﺸﻲ‬ ‫اﻋﻤﺎل‬ ‫ﺑﺮﺧﻲ‬ ‫اﻧﺠﺎم‬ ‫ﻣﻬﺎﺟﻢ‬ ‫ﻋﻠﻴﻪ‬ ‫ﻋﻤﻠﻲ‬ ‫اﻧﺠﺎم‬‫ﺟﻢ‬ ‫ﻬ‬ ‫ﻴ‬ ‫ﻲ‬ ‫م‬ ‫ﺠ‬ ‫ﺟﻤﻊ‬‫ﺑﻴﺸﺘﺮ‬ ‫اﻃﻼﻋﺎت‬ ‫آوري‬ ‫ﻧﻔﻮذ‬ ‫از‬ ‫ﺟﻠﻮﮔﻴﺮي‬ ‫ﺳﻴﺴﺘﻢ‬ )IPS( ‫ﻣﻨﻔﻌﻞ‬)Passive:(‫آﻧﻬﺎ‬ ‫ﺑﻪ‬ ‫واﻛﻨﺶ‬ ‫واﮔﺬاري‬ ‫و‬ ‫ﻣﺪﻳﺮان‬ ‫ﺑﻪ‬ ‫ﮔﺰارش‬ ‫ﻞ‬)(‫ﻬ‬ ‫ﺑ‬ ‫ﺶ‬ ‫و‬ ‫ري‬ ‫و‬ ‫و‬ ‫ن‬‫ﻳﺮ‬ ‫ﺑ‬ ‫رش‬‫ﺰ‬ ‫ﺻﻔﺤﻪ‬ ‫روي‬ ‫ﺑﺮ‬ ‫ﭘﻴﻐﺎم‬ ‫ﻧﻤﺎﻳﺶ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫اﻟﻜﺘﺮوﻧﻴﻜﻲ‬ ‫ﭘﺴﺖ‬ ‫ارﺳﺎل‬ 26
  • 27. ‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬ ‫اوﻟﻴﻪ‬ ‫ﺗﻌﺎرﻳﻒ‬ ‫و‬ ‫ﻣﻘﺪﻣﻪ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﻳﺨﭽﻪ‬ ‫ﺗﺎ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﺗﺎرﻳﺨﭽﻪ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫رده‬‫ﺑﻨﺪي‬‫ﻣﺸﺨﺼﺎت‬ ‫و‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬‫ﺳﻴﺴﺘﻢ‬ ‫ﭘﻴﺎده‬‫ﺳﻴﺴﺘﻢ‬ ‫ﺳﺎزي‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫ﻧﻤﻮﻧﻪ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﭼﻨﺪ‬ ‫ﻣﻌﺮﻓﻲ‬ ‫ﻞ‬ ‫ﻜ‬‫ذ‬ ‫ﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﺳﻴﺴﺘﻢ‬ ‫ﻣﻜﻤﻞ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ 27
  • 28. ‫روﺷﻬﺎي‬‫ﭘﻴﺎده‬‫ﺳﻮءاﺳﺘﻔﺎده‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﺎزي‬ ‫روﺷﻬﺎي‬‫ﭘﻴﺎده‬‫ﺳﻮءاﺳﺘﻔﺎده‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﺎزي‬ ‫ﺳﻴ‬‫ﺧﺒﺮه‬ ‫ﺴﺘﻢ‬ ‫از‬ ‫ﻣﻨﻄﻘﻲ‬ ‫ﻧﺘﺎﻳﺞ‬ ‫ﻛﺮدن‬ ‫ﻣﺸﺘﻖ‬ ‫و‬ ‫ﺣﻘﺎﻳﻖ‬ ‫ﭘﺮدازش‬ ‫ﺑﺮاي‬ ‫ﻣﻜﺎﻧﻴﺰﻣﻲ‬ ‫زﻧﺠﻴﺮه‬ ‫ﺑﻪ‬ ‫ﺗﻮﺟﻪ‬ ‫ﺑﺎ‬ ‫ﺣﻘﺎﻳﻖ‬ ‫اﻳﻦ‬‫ﻗﻮاﻋﺪ‬ ‫از‬ ‫اي‬ ‫ﻧﻔﻮذ‬ ‫ﺳﻨﺎرﻳﻮﻫﺎي‬ ‫ﻳﺎ‬ ‫اﻟﮕﻮﻫﺎ‬ ‫ﻗﻮاﻋﺪ‬ ‫وﻗﺎﻳﻊ‬‫رخ‬‫داده‬‫ﺳﻴﺴﺘﻢ‬ ‫در‬ ‫ﺣﻘﺎﻳﻖ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu(28
  • 29. ‫ﭘﻴﺎده‬ ‫روشﻫﺎي‬‫ﺳﻮءاﺳﺘﻔﺎده‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﭘﻴﺎدهﺳﺎزي‬ ‫ﻫﺎي‬‫روش‬‫ﺳﻮءاﺳﺘﻔﺎده‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﺎزي‬ ‫ﻣﺰاﻳﺎ‬ ‫ﻧﺤ‬ ‫ﺘﻦ‬ ‫داﻧ‬ ‫ﻪ‬ ‫ﺎز‬ ‫ﻧ‬ ‫ن‬ ‫ﺪ‬ ‫ﻛﺎ‬ ‫ﻂ‬ ‫ﺗ‬ ‫اﻋﺪ‬ ‫ﻗ‬ ‫ﻗﺎﻟ‬ ‫د‬ ‫ﻼت‬ ‫اﺋﻪ‬ ‫ا‬ ‫ﻧﺤﻮه‬ ‫داﻧﺴﺘﻦ‬ ‫ﺑﻪ‬ ‫ﻧﻴﺎز‬ ‫ﺑﺪون‬ ‫ﻛﺎرﺑﺮ‬ ‫ﺗﻮﺳﻂ‬ ‫ﻗﻮاﻋﺪ‬ ‫ﻗﺎﻟﺐ‬ ‫در‬ ‫ﺣﻤﻼت‬ ‫اراﺋﻪ‬ ‫ﺧﺒﺮه‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﻋﻤﻠﻜﺮد‬ ‫ﻗﺒﻠ‬ ‫ﻗﻮاﻋﺪ‬ ‫ﺗﻐﻴﻴﺮ‬ ‫ﺑﺪون‬ ‫ﺟﺪﻳﺪ‬ ‫ﻗﻮاﻋﺪ‬ ‫ﻛﺮدن‬ ‫اﺿﺎﻓﻪ‬ ‫اﻣﻜﺎن‬‫ﻲ‬ ‫ﻣﻌﺎﻳﺐ‬‫ﻳﺐ‬ ‫داده‬ ‫زﻳﺎد‬ ‫ﺣﺠﻢ‬ ‫ﺑﺮاي‬ ‫ﻧﺎﻣﻨﺎﺳﺐ‬ ،‫ﭘﺎﻳﻴﻦ‬ ‫ﻛﺎرآﻳﻲ‬‫ﻫﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﻗﻮاﻋﺪ‬ ‫در‬ ‫ﺗﺮﺗﻴﺐ‬ ‫ﺑﻴﺎن‬ ‫ﺑﺮاي‬ ‫ﻧﺎﻣﻨﺎﺳﺐ‬ 29
  • 30. ‫ﭘﻴﺎده‬ ‫روشﻫﺎي‬‫ﺳﻮءاﺳﺘﻔﺎده‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﭘﻴﺎدهﺳﺎزي‬ ‫ﻫﺎي‬‫روش‬‫ﺳﻮءاﺳﺘﻔﺎده‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﺎزي‬ ‫ﺣﺎﻟﺖ‬ ‫ﮔﺬار‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻫﺎي‬‫روش‬ •‫از‬ ‫اﺳﺘﻔﺎده‬‫ﻣﻔﻬﻮم‬‫وﮔﺬار‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﺣﺎﻟﺖ‬ •‫ﺗﻜﻨﻴﻚ‬ ‫از‬ ‫اﺳﺘﻔﺎده‬‫اﻟﮕﻮ‬ ‫اﻧﻄﺒﺎق‬ ‫ﻫﺎي‬ ‫ﻴ‬ ‫ز‬‫ﻮ‬ ‫ق‬ ‫ﺒ‬ ‫ي‬ •‫ﻗﺎﺑﻠﻴﺖ‬ ‫و‬ ‫ﺳﺮﻋﺖ‬ ‫ﻛﻠﻴﺪي‬ ‫ﻋﻤﻠﻴﺎت‬ ‫ﺣﻤﻠﻪ‬ ‫اﻟﮕﻮي‬:‫ﺣﺎﻟﺖ‬‫اوﻟﻴﻪ‬ ‫اﻣﻦ‬‫ﻧﻬﺎﻳﻲ‬ ‫ﺧﻄﺮﻧﺎك‬ ‫ﺣﺎﻟﺖ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu(30
  • 31. ‫ﭘﻴﺎده‬ ‫روشﻫﺎي‬‫ﻧﺎﻫﻨﺠﺎري‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﭘﻴﺎدهﺳﺎزي‬ ‫ﻫﺎي‬‫روش‬‫ﻧﺎﻫﻨﺠﺎري‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﺎزي‬ ‫ﻛﺎرﺑﺮ‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻫﺎي‬‫روش‬ ‫ا‬ ‫ﻛﺎ‬ ‫ﺎل‬ ‫ﻧ‬ ‫ﺎ‬ ‫ﻓ‬ ‫ا‬ ‫ﺎ‬ ‫ﻧ‬ ‫ﻟ‬ ‫ﺗ‬ -‫ﻛﺎرﺑﺮان‬ ‫ﻧﺮﻣﺎل‬ ‫رﻓﺘﺎر‬ ‫از‬ ‫ﻧﻤﺎﻳﻪ‬ ‫ﺗﻮﻟﻴﺪ‬ -‫ﻧﻤﺎﻳﻪ‬ ‫ﺑﺎ‬ ‫ﻛﺎرﺑﺮان‬ ‫واﻗﻌﻲ‬ ‫رﻓﺘﺎر‬ ‫ﻣﻘﺎﻳﺴﻪ‬‫ﻏﻴﺮﻧﺮﻣﺎل‬ ‫رﻓﺘﺎرﻫﺎي‬ ‫ﻳﺎﻓﺘﻦ‬ ‫و‬ ‫ﻫﺎ‬ ‫ﭘﺮدازه‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻫﺎي‬‫روش‬ -‫ﺳﻴﺴﺘﻤﻲ‬ ‫ﻫﺎي‬‫ﻓﺮاﺧﻮاﻧﻲ‬ ‫از‬ ‫اي‬‫رﺷﺘﻪ‬ ‫ﺑﺎ‬ ‫ﻫﺎ‬‫ﭘﺮدازه‬ ‫ﻧﺮﻣﺎل‬ ‫رﻓﺘﺎر‬ ‫ﺑﻴﺎن‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( -‫ﻏﻴﺮﻧﺮﻣﺎل‬ ‫رﻓﺘﺎرﻫﺎي‬ ‫ﻳﺎﻓﺘﻦ‬ ‫و‬ ‫ﭘﺮدازه‬ ‫واﻗﻌﻲ‬ ‫رﻓﺘﺎر‬ ‫ﺑﺮ‬ ‫ﻧﻈﺎرت‬ 31
  • 32. ‫ﭘﻴﺎده‬ ‫ﻫﺎي‬‫روش‬‫ﻧﺎﻫﻨﺠﺎري‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﺎزي‬ ‫ﺘﻨ‬‫ﻛﺎ‬ ‫ﻣﺒﺘﻨﻲ‬‫ﻛﺎرﺑﺮ‬ ‫ﺑﺮ‬ ‫ﻛﻤﻲ‬ ‫ﺗﺤﻠﻴﻞ‬:‫ﻋﺪدي‬ ‫ﻣﻌﻴﺎرﻫﺎي‬ ‫ﺑﺎ‬ ‫ﻧﻤﺎﻳﻪ‬ ‫ﺑﻴﺎن‬ ‫ﻛﺎرﺑﺮ‬ ‫ﺑﺮاي‬ ‫ﻧﺎﻣﻮﻓﻖ‬ ‫ورود‬ ‫ﻣﺠﺎز‬ ‫ﺗﻌﺪاد‬A،n‫اﺳﺖ‬. ‫آﻣﺎري‬ ‫ﺗﺤﻠﻴﻞ‬:‫آﻣﺎري‬ ‫ﻣﻌﻴﺎرﻫﺎي‬ ‫ﺑﺎ‬ ‫ﻧﻤﺎﻳﻪ‬ ‫ﺑﻴﺎن‬ ‫ﻛﺎرﺑﺮ‬ ‫ﺑﺮاي‬ ‫ﻧﺎﻣﻮﻓﻖ‬ ‫ورودﻫﺎي‬A‫ﻧﺮﻣﺎل‬ ‫ﺗﻮزﻳﻊ‬ ‫ﺗﺎﺑﻊ‬a‫اﺳﺖ‬ ‫ﻛﺎرﺑﺮ‬ ‫ﺑﺮاي‬ ‫ﻧﺎﻣﻮﻓﻖ‬ ‫ورودﻫﺎي‬A‫ﻧﺮﻣﺎل‬ ‫ﺗﻮزﻳﻊ‬ ‫ﺗﺎﺑﻊ‬a‫اﺳﺖ‬. IDES،NIDES،Haystack ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu(32
  • 33. ‫ﭘﻴ‬ ‫ﻫﺎي‬‫روش‬‫ﺎده‬‫ﺳﺎزي‬‫ﻧﺎﻫﻨﺠﺎري‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻛﺎ‬ ‫ﻨ‬‫ﻛﺎرﺑﺮ‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻗﺎﻋﺪه‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻫﺎي‬‫روش‬:‫از‬ ‫اي‬‫ﻣﺠﻤﻮﻋﻪ‬ ‫ﺑﺎ‬ ‫آﻣﺎري‬ ‫ﻣﻌﻴﺎرﻫﺎي‬ ‫ﺑﻴﺎن‬ ‫ﺪ‬ ‫ا‬ ‫ﻗ‬‫ﻗﻮاﻋﺪ‬ ‫ﻧﻤﺎﻳﻪ‬ ‫ﺑﻴﺎن‬ ‫ﺑﺮاي‬ ‫ﺧﺒﺮه‬ ‫ﺳﻴﺴﺘﻢ‬ ‫از‬ ‫اﺳﺘﻔﺎده‬‫ﻫﺎ‬ ‫ﻋﺼﺒﻲ‬ ‫ﻫﺎي‬‫ﺷﺒﻜﻪ‬:‫ﻧﻤﺎﻳ‬ ‫اﺳﺘﺨﺮاج‬‫ﺳﻴﺴﺘﻢ‬ ‫ﺳﺎﺑﻘﻪ‬ ‫از‬ ‫ﻪ‬ ‫ژﻧﺘﻴﻚ‬ ‫اﻟﮕﻮرﻳﺘﻢ‬:‫ﻓﺮﺿﻲ‬ ‫ﺑﺮدار‬ ‫ﺗﻌﺮﻳﻒ‬)‫ﻧﻔﻮذ‬‫ﻳﺎ‬‫ﻋﺪم‬‫ﻧﻔﻮذ‬(،‫واﻗﻌﻪ‬ ‫ﺑﺮاي‬ ‫ﻓﺮض‬ ‫ﺑﻬﺒﻮد‬ ‫و‬ ‫اﺻﻼح‬ ،‫ﻓﺮض‬ ‫اﻋﺘﺒﺎر‬ ‫آزﻣﻮن‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﺮض‬ ‫ﺑﻬﺒﻮ‬ ‫و‬ ‫ﻼح‬ ‫ﺮض‬ ‫ر‬ ‫ﺒ‬ ‫ﻮن‬ ‫ز‬ 33
  • 34. ‫ﭘﻴﺎده‬ ‫ﻫﺎي‬‫روش‬‫ﻧﺎﻫﻨﺠﺎري‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﺎزي‬ ‫داز‬ ‫ﺘﻨ‬‫ﭘﺮدازه‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫اﻳﻤﻨﻲ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫روش‬ ‫ﻳﺎ‬ ‫ﻓﺮاواﻧﻲ‬ ‫ﻧﻪ‬ ‫ﻫﺎ‬‫ﻓﺮاﺧﻮاﻧﻲ‬ ‫ﺑﻴﻦ‬ ‫زﻣﺎﻧﻲ‬ ‫ﺗﺮﺗﻴﺐ‬ ‫ﺑﺎ‬ ‫ﭘﺮدازه‬ ‫ﻧﺮﻣﺎل‬ ‫رﻓﺘﺎر‬ ‫ﺑﻴﺎن‬ ‫آﻧﻬﺎ‬ ‫اﻫﻤﻴﺖ‬ ‫ﻳﺎ‬ ‫و‬ ‫ﺗﻮزﻳﻊ‬ ‫ﻛﺎوي‬‫داده‬ ‫ا‬ ‫ﺎ‬ ‫آ‬ ‫ا‬ ‫ﺎ‬ ‫ا‬ ‫ا‬ ‫ﺎل‬ ‫ﺎ‬ ‫ﻓ‬ ‫ﺎ‬ ‫اﻟﮕ‬ ‫ﻛ‬ ‫ﺑﺮاي‬ ‫آﻧﻬﺎ‬ ‫از‬ ‫اﺳﺘﻔﺎده‬ ‫و‬ ‫ﭘﺮدازه‬ ‫ﻧﺮﻣﺎل‬ ‫رﻓﺘﺎر‬ ‫در‬ ‫ﻣﻔﻴﺪ‬ ‫اﻟﮕﻮﻫﺎي‬ ‫ﻛﺸﻒ‬ ‫ﻏﻴﺮﻧﺮﻣﺎل‬ ‫رﻓﺘﺎر‬ ‫ﺗﻌﻴﻴﻦ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu(34
  • 35. ‫ﭘﻴﺎده‬ ‫ﻫﺎي‬‫روش‬‫ﻧﺎﻫﻨﺠﺎري‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﺎزي‬ ‫ا‬‫ﭘﺮدازه‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻣﺎرﻛﻮف‬ ‫ﻣﺪل‬:‫ﺣﺎﻻت‬ ‫ﺑﺎ‬ ‫ﻫﺎي‬‫ﻣﺎﺷﻴﻦ‬ ‫ﺗﻮﺳﻂ‬ ‫ﭘﺮدازه‬ ‫ﻧﺮﻣﺎل‬ ‫رﻓﺘﺎر‬ ‫ﺑﻴﺎن‬ ‫ﻣﺘﻨﺎﻫﻲ‬ ‫ﺗﻮﺻﻴﻒ‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫روش‬:‫ﻳﻚ‬ ‫از‬ ‫اﺳﺘﻔﺎده‬ ‫ﺑﺎ‬ ‫ﭘﺮدازه‬ ‫ﻧﺮﻣﺎل‬ ‫رﻓﺘﺎر‬ ‫ﺑﻴﺎن‬ ‫ﻒ‬ ‫ﺗ‬ ‫ﺎ‬‫ﺗﻮﺻﻴﻒ‬ ‫زﺑﺎن‬ ‫ﻣﺜﺎل‬:‫زﺑﺎن‬ASL‫ﻣﻨﻈﻢ‬ ‫ﺷﺒﻪ‬ ‫ﮔﺮاﻣﺮ‬ ، ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu(35
  • 36. ‫ﺷﺪه‬ ‫ﺗﻮزﻳﻊ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻤﻬﺎي‬ ‫ﺳﺎزي‬ ‫ﭘﻴﺎده‬‫ﺷﺪه‬ ‫ﺗﻮزﻳﻊ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻤﻬﺎي‬ ‫ﺳﺎزي‬ ‫ﭘﻴﺎده‬ ‫ﺳﻴﺴﺘﻢ‬‫ﻋﺎﻣﻞ‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫ﻋﺎﻣﻞ‬:‫ﻧﻈﺎرﺗ‬ ‫ﻋﻤﻞ‬ ‫ﻳﻚ‬ ‫اﻧﺠﺎم‬ ‫ﺑﺮاي‬ ‫ﻧﺮماﻓﺰاري‬ ‫ﻣﻮﺟﻮد‬ ‫ﻳﻚ‬ ‫ﻋﺎﻣﻞ‬:‫ﻧﻈﺎرﺗﻲ‬ ‫ﻋﻤﻞ‬ ‫ﻳﻚ‬ ‫اﻧﺠﺎم‬ ‫ﺑﺮاي‬ ‫اﻓﺰاري‬‫ﻧﺮم‬ ‫ﻣﻮﺟﻮد‬ ‫ﻳﻚ‬ )‫ﺟﻤﻊ‬‫داده‬ ‫آوري‬(‫اﻣﻨﻴﺘﻲ‬ ‫ﻳﺎ‬)‫ﺗﺤﻠﻴﻞ‬(‫ﻣﻴﺰﺑﺎن‬ ‫ﻳﻚ‬ ‫در‬ ‫ﺧﺎص‬ ‫ﻞ‬ ‫ﺎ‬ ‫ﺗﺸﺨ‬ ‫ﻋﺎﻣﻞ‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺟﻤﻊ‬‫ﺷﺪه‬ ‫ﺗﻮزﻳﻊ‬ ‫داده‬ ‫آوري‬ ‫ﺷﺪه‬ ‫ﺗﻮزﻳﻊ‬ ‫ﺗﺤﻠﻴﻞ‬ EMERALDAAFID ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( EMERALD‫و‬AAFID 36
  • 37. ‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬ ‫اوﻟﻴﻪ‬ ‫ﺗﻌﺎرﻳﻒ‬ ‫و‬ ‫ﻣﻘﺪﻣﻪ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﻳﺨﭽﻪ‬ ‫ﺗﺎ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﺗﺎرﻳﺨﭽﻪ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫رده‬‫ﺑﻨﺪي‬‫ﻣﺸﺨﺼﺎت‬ ‫و‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬‫ﺳﻴﺴﺘﻢ‬ ‫ﭘﻴﺎده‬‫ﺳﻴﺴﺘﻢ‬ ‫ﺳﺎزي‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫ﻧﻤﻮﻧﻪ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﭼﻨﺪ‬ ‫ﻣﻌﺮﻓﻲ‬ ‫ﻞ‬ ‫ﻜ‬‫ذ‬ ‫ﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﺳﻴﺴﺘﻢ‬ ‫ﻣﻜﻤﻞ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ 37
  • 38. ‫ﻧﻤﻮﻧﻪ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﭼﻨﺪ‬ ‫ﻣﻌﺮﻓﻲ‬‫ﻧﻤﻮﻧﻪ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﭼﻨﺪ‬ ‫ﻣﻌﺮﻓﻲ‬ ‫ﺳﻴﺴﺘﻢ‬Snort IDS ‫ﻳﻚ‬IDS‫راﻳﮕﺎن‬ ‫ﺷﺒﻜﻪ‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﺣﻤﻼت‬ ‫ﺗﻮﺻﻴﻒ‬ ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﺳﻮءاﺳﺘﻔﺎده‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺰار‬ ‫اﻟﮕﻮي‬ ‫ﺣﺎوي‬‫ان‬‫ﺣﻤﻠﻪ‬ ‫ﻧﻮع‬ ‫ﻗﺎﺑﻠﻴﺖ‬ ‫ﺑﺎ‬Sniffing ‫و‬Packet logging ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﻴ‬ ‫ﺑ‬ ‫ﺑ‬g‫و‬gg g 38
  • 39. ‫ﻧﻤﻮﻧﻪ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﭼﻨﺪ‬ ‫ﻣﻌﺮﻓﻲ‬‫ﻧﻤﻮﻧﻪ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﭼﻨﺪ‬ ‫ﻣﻌﺮﻓﻲ‬ ‫ﺳﻴﺴﺘﻢ‬OSSEC ‫ﺑﺮ‬ ‫ﻣﺒﺘﻨﻲ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬‫ﻣﻴﺰﺑﺎن‬ ‫وﻳﻨﺪوز‬ ‫رﺟﻴﺴﺘﺮي‬ ‫ﻣﺎﻧﻴﺘﻮرﻳﻨﮓ‬ ،‫ﺻﺤﺖ‬ ‫ﻛﻨﺘﺮل‬ ،‫روﻳﺪادﻧﺎﻣﻪ‬ ‫ﺗﺤﻠﻴﻞ‬ ‫اﻣﻜﺎن‬ ‫ﭘﺎﺳﺦ‬‫دوره‬ ‫دﻫﻲ‬‫ﭘﺎﺳﺦ‬ ‫و‬ ‫اي‬‫ﻓﻌﺎل‬ ‫دﻫﻲ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫در‬ ‫ﻛﺎرﮔﻴﺮي‬ ‫ﺑﻪ‬ ‫ﻗﺎﺑﻠﻴﺖ‬‫ﻋﺎﻣﻞ‬ ‫ﻫﺎي‬‫ﻣﺨﺘﻠﻒ‬ ‫ﻫﺎي‬)‫ﻣﺎﻧﻨﺪ‬Linux، FreeBSD،Mac OS‫و‬ ،Windows( ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu(39
  • 40. ‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬‫ﻣﻄﺎﻟﺐ‬ ‫ﻓﻬﺮﺳﺖ‬ ‫اوﻟﻴﻪ‬ ‫ﺗﻌﺎرﻳﻒ‬ ‫و‬ ‫ﻣﻘﺪﻣﻪ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﻳﺨﭽﻪ‬ ‫ﺗﺎ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﺗﺎرﻳﺨﭽﻪ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫رده‬‫ﺑﻨﺪي‬‫ﻣﺸﺨﺼﺎت‬ ‫و‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬‫ﺳﻴﺴﺘﻢ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﺳﺎزي‬ ‫ﭘﻴﺎده‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫ﻧﻤﻮﻧﻪ‬ ‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﺳﻴﺴﺘﻢ‬ ‫ﭼﻨﺪ‬ ‫ﻣﻌﺮﻓﻲ‬ ‫ﻞ‬ ‫ﻜ‬‫ذ‬ ‫ﻔ‬ ‫ﺸﺨ‬ ‫ﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﺳﻴﺴﺘﻢ‬ ‫ﻣﻜﻤﻞ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ 40
  • 41. ‫ﺳﻴﺴﺘﻢ‬ ‫ﺑﺎ‬ ‫ﺗﺮﻛﻴﺐ‬‫ﺗﻠﻪ‬ ‫ﺳﻴﺴﺘﻢﻫﺎي‬ ‫ﺑﺎ‬ ‫ﺗﺮﻛﻴﺐ‬‫ﺗﻠﻪ‬ ‫ﻫﺎي‬ ‫ﺗﻠﻪ‬ ‫ﺘ‬‫ﻞ‬)Honeypot( ‫ﺗﻠﻪ‬ ‫ﺳﻴﺴﺘﻢ‬‫ﻋﺴﻞ‬)Honeypot:( ‫ﺟﻬﺖ‬ ‫ﻣﻬﺎﺟﻢ‬ ‫ﻓﺮﻳﺐ‬ ‫و‬ ‫اﻏﻔﺎل‬ ‫ﻧﺤﻮة‬ ‫از‬ ‫ﺑﻴﺸﺘﺮ‬ ‫اﻃﻼﻋﺎت‬ ‫آوري‬‫ﺟﻤﻊ‬‫ﻮ‬ ‫ز‬ ‫ﺮ‬ ‫وري‬ ‫ﻊ‬ ‫آن‬ ‫ﻋﻤﻠﻜﺮد‬. ‫ﺟﻤﻊ‬ ‫ﺑﺮاي‬ ‫ﺑﻴﺸﺘﺮ‬ ‫ﺣﺎﺿﺮ‬ ‫درﺣﺎل‬‫آوري‬ ‫ﻣﻲ‬ ‫اﺳﺘﻔﺎده‬ ‫ﺑﺪاﻓﺰارﻫﺎ‬‫ﺷﻮد‬. ‫ﺳﻴﺴﺘﻢ‬ ‫از‬ ‫اﺳﺘﻔﺎده‬‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫ﻚ‬ ‫اﻓ‬ ‫ﺗ‬ ‫ﺖ‬ ‫ﻫﺪا‬ ‫اي‬ ‫ي‬ ‫ﻧﺎﻫﻨﺠﺎ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﺗﺮاﻓﻴﻚ‬ ‫ﻫﺪاﻳﺖ‬ ‫ﺑﺮاي‬ ‫ﻧﺎﻫﻨﺠﺎري‬ ‫ﺗﻠﻪ‬ ‫ﺑﻪ‬ ‫ﻣﺸﻜﻮك‬‫ﻫﺎ‬ 41
  • 42. ‫روﻳﺪادﻫﺎ‬ ‫ﻫﻤﺒﺴﺘﮕﻲ‬ ‫ﺗﺤﻠﻴﻞ‬‫روﻳﺪادﻫﺎ‬ ‫ﻫﻤﺒﺴﺘﮕﻲ‬ ‫ﺗﺤﻠﻴﻞ‬ Log Correlation Systems ‫ﻂ‬ ‫ﺗ‬ ‫ﺷ‬ ‫ﺛ‬ ‫ﺎ‬ ‫ا‬ ‫ﮕ‬ ‫ﻞ‬ ‫ﻠ‬ ‫ﺗ‬ ‫ا‬ ‫ﺗﻮﺳﻂ‬ ‫ﺷﺪه‬ ‫ﺛﺒﺖ‬ ‫روﻳﺪادﻫﺎي‬ ‫ﺑﻴﻦ‬ ‫ﻫﻤﺒﺴﺘﮕﻲ‬ ‫ﺗﺤﻠﻴﻞ‬ ‫ﺑﺮاي‬ ‫ﺳﻴﺴﺘﻤﻲ‬ ‫ﺳﻴﺴﺘﻢ‬‫ﻧﻔﻮذ‬ ‫ﺗﺸﺨﻴﺺ‬ ‫ﻫﺎي‬ ‫اﻫﺪاف‬: ‫اﻋﻼن‬ ‫ﺣﺠﻢ‬ ‫ﻛﺎﻫﺶ‬‫ﻫﺎ‬ ‫ﭼﻨﺪﻣﺮﺣﻠﻪ‬ ‫ﺣﻤﻼت‬ ‫اﺳﺘﺨﺮاج‬‫اي‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( ‫ﺮ‬ ‫ﭼ‬ ‫ج‬‫ﺮ‬‫ي‬ 42
  • 43. ‫ﭘﺎﻳﺎن‬‫ﭘﺎﻳﺎن‬ ‫ﺷﺮﻳﻒ‬ ‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬ ‫ﻣﺮﻛﺰ‬ http://dnsl.ce.sharif.edu ‫اﻟﻜﺘﺮوﻧﻴﻜﻲ‬ ‫ﭘﺴﺖ‬ ‫اﻣﻴﻨﻲ‬ ‫ﻣﺮﺗﻀﻲ‬-‫ﻧﻴﻤﺴﺎل‬‫اول‬91-90‫ﺷﺒﻜﻪ‬ ‫و‬ ‫داده‬ ‫اﻣﻨﻴﺖ‬‫ﻣﺮﻛﺰ‬‫اﻣﻨ‬‫ﻴ‬‫ﺖ‬‫و‬ ‫داده‬‫ﺷﺒﻜﻪ‬‫ﺷﺮﻳﻒ‬)http://dnsl.ce.sharif.edu( m_amini@ce.sharif.edu 43