کد مقاله | کد نشریه | سال انتشار | مقاله انگلیسی | نسخه تمام متن |
---|---|---|---|---|
453856 | 695038 | 2009 | 10 صفحه PDF | دانلود رایگان |
کلمات کلیدی
1.مقدمه
2.سیستمهای کشف مزاحم
3.انواع IDS
1.3. IDSهای مبتنی بر سوءاستفاده
1.1.3. اسنورت
شکل 1. جریان بسته به واسطه اسنورت
شکل 2. ساختار قاعده اسنورت
2.3. سیستمهای کشف مزاحم مبتنی بر نابهنجاری
1.2.3. کاشف نابهنجاری سرتیتر بسته (PHAD)
2.2.3. کاشف نابهنجاری ترافیک شبکه (NETD)
4.طراحی IDS ترکیبی
1.4. ترکیب PHAD و NETAD برای اسنورت IDS امضاء محور
5.ارزیابی IDS ترکیبی
1.5. عملکرد اسنورت در دادههای IDEVAL
شکل 3. نمودار بلوک IDEVAL، 1999 بستر آزمون.
جدول 1. فایلهای tcpdump هفتههای چهارم و پنجم از پایگاه داده IDEVAL و روزهایی که به آن تعلق دارند.
شکل 4. حملههای کشف شده با اسنورت بر مبناهای روزانه.
2.5. عملکرد اسنورت + PHAD بر دادههای IDEVAL
3.5. عملکرد سیستم ترکیبی (اسنورت + PHAD + NETAD) بر دادههای IDEVAL
جدول 2. فایلهای tcpdump هفته سوم از پایگاه داده IDEVAL و روزهایی که به آن تعلق دارند
شکل 5. حملههای کشف شده توسط اسنورت + PHAD به صورت روزانه.
شکل 6. حملههای کشف شده توسط اسنورت+ PHAD + NETAD به صورت روزانه.
6.نتیجهگیری
شکل 7. حملههای کشف شده با IDS ترکیبی برمبنای روزانه.
Intrusions detection systems (IDSs) are systems that try to detect attacks as they occur or after the attacks took place. IDSs collect network traffic information from some point on the network or computer system and then use this information to secure the network. Intrusion detection systems can be misuse-detection or anomaly detection based. Misuse-detection based IDSs can only detect known attacks whereas anomaly detection based IDSs can also detect new attacks by using heuristic methods. In this paper we propose a hybrid IDS by combining the two approaches in one system. The hybrid IDS is obtained by combining packet header anomaly detection (PHAD) and network traffic anomaly detection (NETAD) which are anomaly-based IDSs with the misuse-based IDS Snort which is an open-source project.The hybrid IDS obtained is evaluated using the MIT Lincoln Laboratories network traffic data (IDEVAL) as a testbed. Evaluation compares the number of attacks detected by misuse-based IDS on its own, with the hybrid IDS obtained combining anomaly-based and misuse-based IDSs and shows that the hybrid IDS is a more powerful system.
Journal: Computers & Electrical Engineering - Volume 35, Issue 3, May 2009, Pages 517–526