نتایج ساختاری برای ترکیب مداوم تایید کاربر و تشخیص...

نتایج ساختاری برای ترکیب مداوم تایید کاربر و تشخیص نفوذ

سیار با AD HOCدر شبکه های امنیت باال

دانشگاه فردوسی مشهد واحد بین الملل

1392تابستان

هانی فیروزه

STRUCTURAL RESULTS FOR COMBINED CONTINUOUS USER

AUTHENTICATION AND INTRUSION DETECTION INHIGH SECURITY MOBILE AD-HOC NETWORKS

مقدمه

امMروزه بMه علت اهمیت روز افMزون اطالعMات و تمMایالت افMراد بMه امMنیت ابزارهMای قMدیمی ماننMد •پسMورد بMه تنهMایی جوابگMو قابMل اعتمMاد نیسMت بنMابراین متخصصMین بMه دنبMال راه هMای مطمئن تMر

رفته که یکی از این راه ها استفاده از علم بیومتریک می باشد.

در روش بیومتریک از مشخصات فیزیکی و رفتاری برای شناسایی افراد استفاده می شود.•

امMروزه همMه سیسMتم هMای اطالعMات در معMرض حMوادثی ماننMد سMهل انگMاری کMاربران، تخMریب، •استفاده غیر مجاز، جاسوسی و ... واقع شده اند.

حمله که در طراحی سیستم امنیتی لحاظ می شوند:4•

استراق سمع، دستکاری، جعل و وقفه

مقدمه

به علت پیچیMدگی هMای موجMود و پیشMرفت هMای حاصMله در سیسMتم هMای مختلMف و شMبکه شMدن •هMای شMبکه الیMه امMنیت ذیMل در رعMایت شMود. تمMام سMطوح در امMنیت بایسMتی هMا سیسMتم

مشاهده می شوند:

امنیت الیه فیزیکی که شامل حراست فیزیکی می گردد.-

امنیت الیه پیوند که شامل رمزنگاری است.-

می گردد.Firewallامنیت الیه شبکه که شامل استفاده از ابزار و تجهیزات امنیتی مانند -

امنیت الیه انتقال که شامل رمزنگاری کامل می باشد.-

امMنیت الیMه کMاربرد کMه بایسMتی کMاربران بMه صMورت مجMاز و ایمن توسMط سMازوکارهایی فعMالت -نمایند.

مقدمه

انولع اقدامات و تجهیزات مورد استفاده برای ایجاد امنیت:•

- استفاده از سازو کارهایی رمزنگاریدیواره آتش-

-VPN سرورهای -AAA

-IDSامضای دیجیتال -

-IPSاستفاده از سیستم های احراز هویت -

- بستن پورت های غیر ضروریآنتی ویروس ها-

- .....اسکن شبکه-

-Logنمودن

مقدمه

و در دسMترس بMودن این شMبکه هMا، اسMتفاده MANET بMودن سیسMتم هMای Real Timeبه علت • هMا افMزایش یافتMه و از لحMاظ امنیMتی نیازمنMد سMطوح مختلMف و اسMتفاده از تکنولMوژی MANETاز

های به روزتر می باشند.

ها در نظر گرفته می شود: پیشگیری و تشخیصMANETاز دید امنیتی دو رهیافت برای •

تاییMد هMویت کMاربران بMه عنMوان روشMی پیشMگیری از ورود و اسMتفاده کMاربران غMیر مجMاز جلوگMیری •می نماید.

•IDSسیستمی برای تشخسص نفوذ غیر مجاز به سیستم بوده و با آن مقابله می نماید

احراز هویت

تاییMد هMویت کMاربران بایسMتی بMه طMور مسMمتر صMورت پMذیرد تMا از ورود کMاربر •انجMام می تصMافی زمMانی فواصMل در کMار این مجMاز مطمئن شMد. معمMوال

گردد.

اثMر انگشMت، • تاییMد هMویت کMاربران از تکنولMوژی زیسMت شMناختی مثMل برای ( و .. استفاده می شود.Retina(، شبکیه )Irisعنبیه )

احراز هویت دارای سطوح ضعیف و قوی برای پیشگیری از نفوذ می باشد.•

IDS

سیسMتم هMای تشMخیص نفMوذ داده هMا و ترافیMک را مشMاهده کMرده و در هنگMام •تشخیص عامل مخرب پاسخ مناسب به آن می دهد.

Gatewat هMا سیسMتم هMای تشMخیص نفMوذ در مسMیریاب هMا و MANETدر •در شبکه های غیر متمرکز قرار می گیرند.

•IDS تمMارتی سیسMه عبMد. بMل می نمایMواره آتش عمMر از دیMط عقب تMک خMی دفاعی سطح دوم است.

ماژول معماری تشخیص نفوذ

روش های تشخیص نفوذ

•HMM مخفی روشی برای تشخیص نفوذ خالف قاعده است. طبق بررسی ها زمان یادگیری پردازش داده ها برای نفوذ با این روش در مقابل حالت

درصد کاهش می یابد.50معمولی آن

•B_BID.از طریق الگوی مصرف توان نفوذ را تشخیص می دهد

•Blue Box.برای تشخیص نفوذ با محوریت سیاسی استفاده می گردد

طرح مرکزی

گMیری • تصMمیم مشMاهده احتمMال فرآینMد یMک عنMوان بMه طMرح این در شبکه ( فرموله شده است.POMDPمارکوف )

•POMDP ورهایMداد سنسMا تعMایی را بMالت فضMایی از حMد نمMا رشMبات بMمحاس ها حل می نماید.IDSبیومتریک و

بخش هMای اصMلی یMک سیسMتم بیومتریMک: سنسMور، بخش اسMتخراج ویMژگی هMا، •بخش تطبیق و پایگاه داده

انواع روش های بیومتریک: اثر انگشت، عنبیه، شبکیه چشم و ....•

طرح توزیعی

MANETشامل ترکیب مستمر احراز هویت کاربر و تشخیص نفوذ در •های دارای امنیت باال می باشد.

برنامه ریزی تایید هویت یا تشخیص نفوذ با توجه به امنیت و منابع •ها( صورت می گیرد.Node) انرژی

مشکل احراز هویت مستمر و تشخیص نفوذ به صورت مشکل چند • فرموله می گردد.POMDPراهزن مسلح

تشMخیص نفMوذ و احMراز هMویت مبتMنی بMر بیومتریMک چنMد مدلی

برای محیط های با خطر باال عالوه بر احراز هویت در هنگام ورود بایستی •کاربر در بازه های زمانی مجدد تایید گردد

هرچه محیط متخاصم تر باشد بازه زمانی احراز هویت کاربران کاهش می •یابد.

با استفاده از تکنولوژی بیومتریک می توان بدون وقفه و به صورت خودکار •کاربر را از روی خصوصیات رفتاری یا فیزیولوژیکی شناسایی نمود

MANET های مجهز به بیوسنسورها و IDS ها

بMا چنMد MANETشکل چMارچوبی از یMک مدل بیومتریک را نشان می دهد.در این ارائه فرض می شود که:

یMک بMه اشMاره بMرای سنسMور لفMظ دشMتگاه تصMدیق یMا شناسMایی نفMوذ بMرده

خواهد شداز چنMMد Nodeبرخی یMMا یMMک هMMا

بMMدوین بMMرخی و دارنMMد بیوسنسMMور سنسMور هسMتند و بMه طMور مشMابه بMرخی

IDS دارند و برخی فاقد IDS.هستند

اطالعات بیومتریک بین سنسورها و واحد های ذخیره سازی با الگوهای بیومتریک •مخابره می شوند

الگوهای بیومتریک به طور معمول عبارتند از:•

ذخیره الگو در خود خواننده بیومتریک-

ذخیره الگو در مخزن راه دور-

های قابل حملTokenذخیره الگو بر روی -

به علت نیاز به پیکربندی توزیعی معموال الگوها در یک مکان دور ذخیره می شوند.•

MANET های مجهز به بیوسنسورها و IDS ها

مدل سیستم

مدل سیستم

با ماتریس احتمال Q و L و با زنجیره ماکوف و سطوح K در زمان Nسنسور •حالت انتقال به صورت زیر خواهد بود.

اگر سنسور بیکار باشد حالتش تغییر نخواهد کرد.•

مدل سیستم

در • انتخMابی امنیMتی سنسMور حMالت مشMاهده کMه MANETماتریس کMاربردی سنسور به صورت مستقیم مشاهده نمی شود از قرار زیر است:

می توان نشان دادBeو ماتریس مشاهده حالت انرژی آن همانند باال و با •

مدل سیستم

نتایج ساختاری

شاخص گیتینزنتایج ساختاری –

برای ایجاد سیاست بهینه از ساخص استفاده می گردد.•

شاخص گیتینز برای یک سنسور تابعی از ویژگی های آن و حالت اطالعات است•

سیاست بهینه آن است که سنسور با شاخص گیتینز باالتر انتخاب گردد.•

کاسته می شود.POMDPبا استفاده از شاخص پیچیدگی های روش •

روش های محاسبه شاخص گیتینز: •

الگوریتم تکرار مقدار-

شاخص گیتینز یکنواخت و تقریب خطی-

– شاخص گیتینزنتایج آزمایش

جدول روبرو اطالعاتی برای شاخص گیتینز با روش تکرار مقدار را نشان می • های کم و مقدار کمی حالت مشاهده، عمل می Nodeدهد که برای تعداد

نماید.

در شرایط معمول هزینه و ماتریس احتمال حالت انتقال و ماتریس احتمال مشاهده، شاخص گیتینز زیاد •می گردد.

به عنوان معیاری برای انتخاب سنسور با احتمال بیشتر برای انتخاب در یک زمان استفاده می MLRاز •شود.

هستند سیاست بهینه سیاست مناسبی خواهد بود.MLRقضیه: اگر حالت اطالعات سنسورها قابل مقایسه •

در یک شبکه نظامی نشت اطالعات از مصرف انرژی دارای اهمیت باالتری است. در نتیجه سیاست بهینه، •انتخاب سنسور با احتمال باالیی از ایمنی در هر بازه زمانی است.

در یک شبکه غیر نظامی مصرف انرژی از نشت اطالعات دارای اهمیت باالتری است. در نتیجه سیاست •بهینه، انتخاب سنسور با احتمال باالیی از انرژی در هر بازه زمانی است.

– شاخص گیتینزنتایج آزمایش

می باشد.i+1 کمتر یا برابر iبا توجه به قضیه فوق هزینه برای یک سنسوز خودسر در حالت •

با توجه به مشکالت زمان بندی در توزیع مداوم تصدیق و تشخیص نفوذ بردار هزینه هر سنسور با •فرض خطرناک تر بودن نشت اطالعات نسبت به کاهش انرژی همراه است. بنابراین، هزینه یک

Node امن با انرژی بیشتر نسبت به Node.غیر ایمن و با انرژی کم پایین تر است

– شاخص گیتینزنتایج آزمایش

ها : MANETچندین مدل احتمالی مشترک برای •

هر سنسور اندازه گیری هدف در نویز گاوسی، تدریجی است.-

اعالم شده.x و حالت واقعی y سریع هندسی با خطای بین مشاهدات die احتمال مشاهده -

مقMدار سنسMور گMزارش شMده هرگMز بیشMتر از یMک ارزش گسسMته دور از ارزش صMحیح نیسMت. - سه قطری استN*N زیر یک ماتریس Bبنابراین، ماتریس

– شاخص گیتینزنتایج آزمایش

سیاست بهینه زمانی که تعداد حاالت برای سنسور افزایش می یابد می توان به صورت • نیاز نمی باشد.MLRمستقیم اسفاده نمود. و مقایسه حالت اطالعات با

در این گونه موارد، حالت اطالعات برای همه المان ها به جز در مرتبه اول صفر در نظر •گرفته می شود. در نتیجه حالت اطالعات برای همه یکسان است.

با حالت اطالعات Node سیاست بهینه انتخاب MLRبا توجه به غیر قابل مقایسه بودن • می باشد.MLRکوچک با توجه به ترتیب

– شاخص گیتینزنتایج آزمایش

پیچیدگی محاسباتی و سربار ارتباط

و استفاده از یک کنترلر متمرکز و با توجه به POMDPطرح مرکزی به علت فرموله شدن با • با تعداد سنسورها نسبت به محاسبات مقاوم می باشد.POMDPرشد نمای

برای هر سنسور وابسته است در نتیجه از میزان POMDPطرح پیشنهاد شده تنها به •پیچیدگی آن به طور چشمگیری کاسته می شود.

سربار ارتباطات نیز با توجه به همه پخشی دو نوع از پیام ایجاد می شود که عبارتند از:•

شروع شاخص سنسور -

شاخص سنسور-

پیچیدگی محاسباتی و سربار ارتباط

فعال بایستی مشاهدات خود را به کنترل مرکزی انتقال دهد و خود Nodeدر طرح مرکزی • ها است در نتیجه سربار افزایش می یابد. کل سربار Nodeکنترلر نیز نیازمند اطالعات از

بایت در هر بازه زمانی است.4N+8+4Nاین طرح برابر

در طرح پیشنهادی کل سربار در هر بازه زمانی از قرار زیر است:•

8N*)N-1(+8*)N-1(

هر سنسMور در طMرح پیشMنهادی می توانMد شMاخص جدیMدی در بMازه هMای مختلMف بMرای کMاهش •سربار همه پخشی نماید.

اگر از روی شاخص تاریخ گذشته تصمیم گیری شود هزینه ها افزایش می یابد.•

پیچیدگی محاسباتی و سربار ارتباط

شکل زیر نشان می دهد که•

هزینه طرح پیشنهادی پایین می باشد.

شبیه سازی

استفاده شده IDSدر این شبیه سازی دو نوع سنسور بیومتریک اثر انگشت و عنبیه و از •است.

وضعیت })امن، پر انرژی(، )ایمن، کم انرژی(، )به خطر افتاده، انرژی باال(، 4هر سنسور •)به خطر افتاده، کم انرژی({ را داراست.

سنسورها دارای دقت و هزینه متوسط هستند.•

•IDSحداقل انرژی و دقت را دارد

شبیه سازی

نمونه ای از ماتریس احتمال حالت انتقال•

C(1)=(3,8,20,40), C(2)=(2,7,22,45), C(3)=(1,4,25,50)هزینه بردار عبارتست از: •

ها تغییر خواهد کردNode برای تنوع 21جدول اسالید •

شبیه سازی

در حالت به خطر افتاده نسبت Nodeاز آنجا که پتانسیل بیشتری برای نشت اطالعات برای • امن پایین تر از انتخاب Nodeبه حالت امن وجود دارد، هزینه نشت اطالعات با انتخاب یک

به خطر افتاده استNodeیک

مقدار هزینه یک سنسور در یک حالت به خطر افتاده تر از یک با توجه به ماتریس اسالید قبل •حالت امن تر به ویژه در یک شبکه نظامی بسیار زیادتر نیاز به تنظیم دارد، پس یک سنسور

امن تر را می توان در هر بازه زمانی انتخاب کرد.

در یک شبکه غیر نظامی، به ویژه برای یک شبکه حساس به انرژی، ارزش هزینه یک سنسور •در یک حالت انرژی پایین تر باید نسبت به وضعیت انرژی باالتر بسیار زیاد تنظیم گردد،

بنابراین یک سنسور انرژی باالتر می تواند در هر بازه زمانی انتخاب شود.

بهره وری محاسباتی

-Off زمان محاسبات در طرح مرکزی و طرح توزیعی در بخش های 21طبق جدول اسالید •line و On-line برای تمامی انواع Node ها در MANET متغیر است.50 تا 2 از

همانند سطح روش نتایج ساختاری استOn-lineبرای مقدار الگوریتم تکرار، زمان محاسبات •

بخش غالب از مقدار الگوریتم تکرار می باشد.Off-lineجدول نشان می دهد که زمان •

تغییر می کنند به طور 4 به 2ها از Nodeزمان محاسبات هنگامی که تعدادی از انواع • ساعت می رسد8 ثانیه به بیشتر از 0.03چشمگیری افزایش می یابد به عبارتی از

برای روش نتایج ساختاری همواره برابر با صفر بوده و از این روش Off-lineزمان محاسبات • استفاده می گردد. On-lineفقط برای زمان بندی سنسورها به طور

ها در شبکه اندکی افزایش می Nodeزمان محاسبات با روش نتایج ساختاری با افزایش انواع • های واقعی مفید هستند.MANETیابد. این نشان می دهد که نتایج ساختاری عمال در

سیاست ها

شکل زیر مثالی از سیاست زمان بندی مطلوب در طرح پیشنهادی با استفاده از روش نتایج •ساختاری را نشان می دهد

به صورت پویا در شبیه سازی IDSمی توان مشاهده کرد که احراز هویت و •

زمان بندی شده اند تا نشت اطالعات را حداقل و زمان زندگی شبکه

را حداکثر نمایند.MANETدر

مرحله اول با بروزرسانی100جدول زیر نشان دهنده سنسورهای انتخابی در •

غیر قابل مقایسه برای انتخاب بهینه استMLR اطالعات با

مقایسه عملکرد

اول از شبیه سازی را نشان می دهد. مرحله 100به طور متوسط هزینه برای شکل زیر •

شکل نشان می دهد که متوسط هزینه از طرح تصادفی از سه طرح دیگر به مراتب باالتر •است. همچنین نشان می دهد که متوسط هزینه طرح توزیعی پیشنهادی باالتر از طرح

مرکزی

های طرح مرکزی قادرند تصمیم بهتری Nodeاست چرا که

برای اطالعات تکمیلی بگیرند.

نتایج نشان می دهد که متوسط هزینه از الگوریتم•

تکرار مقدار و از روش نتایج ساختاری بسیار نزدیک به هم هستند.

مقایسه عملکرد

Nodeشکل زیر نشان می دهد که نشت اطالعات نسبی است که به عنوان نشت اطالعات •ها در حالت بدی هستند Nodeهای تقسیم شده انتخابی بوسیله نشت اطالعات هنگامی که

تعریف می شود

این دو روش قادرند سیاست های مطلوب برای حداقل کردن نشت اطالعات تهیه کنند و •زمان زندگی شبکه را حداکثر نمایند..

این شکل و شکل قبل نشان می دهند که نتایج بدست آمده•

از دو روش در مراحل اولیه کامال متفاوت هستند

مقایسه عملکرد

دالیل اینکه چرا نتیجه الگوریتم تکرار مقدار، دقیقا مشابه روش نتایج ساختاری نیست •عبارتند از:

برای الگوریتم تکرار مقدار، تقریب شاخص گیتینز افق محدود، دقت خودسرانه با انتخاب یک - که یک معاوضه بین عملکرد و زمان محاسبات است را ایجاد می نماید.Hافق بزرگ

برای روش نتایج ساختاری، حالت به روز رسانی شده اطالعات از سنسور انتخابی در پروژه -هنگامی است که حالت وجود دارند و این MLRبه نزدیکترین اطالعات قابل مقایسه

، غیر قابل مقایسه با دیگر سنسورها باشدMLRاطالعات به روز شده

مقایسه عملکرد

در شMکل هMای زیMر ارقMام نشMان می دهنMد کMه متوسMط نشMت اطالعMات در شMبکه نظMامی خیلی •کمMتر از شMبکه غMیر نظMامی اسMت، همچMنین نتMایج متوسMط هزینMه و متوسMط نشMت اطالعMات بMرای الگMوریتم تکMرار مقMدار و روش نتMایج سMاختاری در شMبکه هMای نظMامی کمMتر می باشMند و

، متوسMط هزینMه و متوسMط نشMت 18 بMه 3هMای در دسMترس در شMبکه از NodeافMزایش تعMدادهMای بیشMتری می تواننMد بMرای احMراز NodeاطالعMات کMاهش می یابMد. دلیMل آن این اسMت کMه

تMا بتMوان از انتخMاب شMوند هMای بMه خطMر افتMاده و کم انMرژی NodeهMویت و تشMخیص نفMوذ اجتناب نمود.

مقایسه متوسط هزینه بین دو

های مختلف.Nodeروش با تعداد

Node مقایسه متوسط نشت اطالعات بین شبکه غیر نظامی و نظامی با تعداد

های مختلف.

مقایسه عملکرد

شکل زیMر نشMان می دهMد کMه متوسMط هزینMه اسMتفاده شMده در این دو روش بMه عنMوان اولین • متغMیر اسMت کMه در آن حMالت احتمMال 1 تMا 0.7اجMزای در مMاتریس حMالت احتمMال انتقMال از

انتقالی باال بدین معنی است که سیستم ایمن تر است.

زمانی که سیستم ایمن می گردد هزینه کاهش می یابد.•

مقایسه عملکرد

مرحلMه اولیMه زمMانی کMه بخش 100 نشMان می دهMد کMه متوسMط نشMت اطالعMات در 13شکل •انتقMال اسMت، بMه 0.7، از IDSاول در مMاتریس حMالت احتمMال یافتMه و مقMدار همMه 1 تغیMیر

احتماالت دیگر ثابت باقی می مانند.

نتMایج نشMان می دهMد کMه نشMت اطالعMات بMرای چهMار احتمMال اول ثMابت بMاقی می مانMد و هنگMامی •که سیستم امن تر می شود کاهش می یابد

زمانی که حالت احتمال انتقال بیشتر افزایش می یابد، •

متوسط نشت اطالعات کم می گردد.

مقایسه طول عمر شبکه

عملکMرد زمMان زنMدگی شMبکه بMرای طMرح هMای پیشMنهادی هMر روش بررسMی شMده در شMکل زیMر •نمایش داده شده است.

انتخابی کم انرژی گردد.Nodeدر این طرح زمان زندگی شبکه به زمانی گفته می شود که •

هMا افMزایش می یابMد. متوسMط زمMان زنMدگی شMبکه NodeزمMان زنMدگی شMبکه بMا مجمMوع تعMداد •در شMبکه هMای غMیر نظMامی در مقایسMه شMبکه هMای نظMامی بسMیار بیشMتر اسMت و از سنسMورهای

پر انرژی در هر بازه زمانی با معاوضه نشت اطالعات بزرگتر بهره گرفته می شود.

در شبکه های نظامی نتایج با استفاده از•

الگوریتم تکرار مقدار و روش نتایج ساختاری

خیلی نزدیک به هم هستند.

نتیجه گیری

نتایج ساختاری قادر به مشکل ترکیب مستمر تایید هویت و MANETتحت شرایط مناسب در •تشخیص نفوذ می باشیم

در این مقاله، یک روش توزیع شده از ترکیب احراز هویت کاربر و تشخیص نفوذ ارائه گردید.•

یک روش نتایج ساختاری برای محاسبه شاخص گیتینز و رفع مشکل جند راهزن مسلح ارائه •شد.

عملکرد سیستم از روش نتایج ساختاری خیلی مشابه الگوریتم تکرار مقدار است، اما •پیچیدگی بسیار پایین تری برای محاسبات دارد.