امنیت در رایانش ابری: تفاوت میان نسخهها
خط ۲۰۱: | خط ۲۰۱: | ||
[[پرونده:3.jpg|1024x768px|بندانگشتی|وسط]] | [[پرونده:3.jpg|1024x768px|بندانگشتی|وسط]] | ||
جهت اندازه گیری دقت signature ها ، سه اجرای تستی انجام می شود : حمله DOS مقابل نمونه ، حمله DOS از سوی نمونه و حالت پایه که هیچ حمله ای انجام نمی شود که هریک پانزده دقیقه طول می کشد . | |||
[[پرونده:4.jpg|1024x768px|بندانگشتی|وسط]] | [[پرونده:4.jpg|1024x768px|بندانگشتی|وسط]] |
نسخهٔ ۵ فوریهٔ ۲۰۱۵، ساعت ۰۲:۲۲
چکیده
مقدمه
دنياي فناوري اطلاعات و اينترنت که امروزه تبديل به جزئي حياتي از زندگي بشر شده، روز به روز در حال گسترش است. همسو با آن، نيازهاي اعضاي جوامع مانند امنيت اطلاعات، پردازش سريع، دسترسي پويا و آني، قدرت تمرکز روي پروژههاي سازماني به جاي اتلاف وقت براي نگهداري سرورها و از همه مهمتر، صرفهجويي در هزينهها اهميت زيادي يافته است. راه حلي که امروزه در عرصه فناوري براي چنين مشکلاتي پيشنهاد ميشود فناوري است که اين روزها با نام رايانش ابري (محاسبات ابري، پردازش ابري) پرداخته ميشود. رايانش ابري مدلي است براي داشتن دسترسي فراگير، آسان و بنابه سفارشِ شبکه به مجموعهاي از منابع پردازشي پيکربنديپذير (مثل: شبکهها، سرورها، فضاي ذخيرهسازي، برنامههاي کاربردي و سرويسها) که بتوانند با کمترين کار و زحمت يا نياز به دخالت فراهمکننده سرويس به سرعت فراهم شده يا آزاد (رها) گردند.
به طور خلاصه به وسيلهي رايانش ابري شرکتها، کاربران سرويسهاي فناوري اطلاعات، ميتوانند سرويسهاي مرتبط با فناوري اطلاعات خود به عنوان سرويس بخرند؛ به جاي خريد سرورها براي سرويسهاي دروني يا بروني، يا خريد مجوز نرمافزارها شرکتها ميتوانند آنها را به عنوان سرويس بخرند. رايانش ابري راهي براي افزايش ظرفيت ذخيرهسازي يا امکانات، بدون هزينه کردن براي زيرساخت جديد، آموزش پرسنل جديد، يا خريد مجوز نرمافزار جديد ميباشد؛ در واقع شرکتها يا افراد تنها براي آنچه مصرف ميکنند پول خواهند داد. بنابراين راهي موثر براي استفاده از منابع، مديريت سرمايه و هزينههاي پشتيباني فناوري است.
ساختار كاملاً باز و توزيع شده در رايانش ابري و سرويسهاي آن موجب ميشود تا هدفي جذاب براي مهاجمان باشد. اين ساختار شامل پارادايمهاي سرويسگرا و توزيع شده mesh چندگانه، اجاره چندگانه، دامنههاي چندگانه و ساختارهاي مديريتي خودمختار چند كاربره ميباشد كه مستعد تهديدات امنيتي و آسيبپذيري بيشتري هستند. معماري سرويس در رايانش ابري از تركيب سه لايه وابسته به هم به نامهاي زيرساخت ، سكو يا بستر و برنامه تشكيل شده است كه با خطاهاي پيكربندي متفاوتي كه توسط كاربر يا فراهم كننده سرويس ايجاد ميشود، معرفي ميگردد. يك سيستم رايانش ابري ميتواند با چندين تهديد متفاوت رو به رو شود كه شامل تهديدات يكپارچگي (صحت)، محرمانگي و دسترسپذيري منابع، داده و زيرساختهاي مجازي سازي شده كه به عنوان بستري براي حملات جديد ميباشد. یکی از روشهای شناسایی حملات استفاده از سیستمهای تشخیص نفوذ میباشد و هدف از این پژوهش بررسی راهکارهای مختلف ارائه شده در مورد سیستمهای تشخیص نفوذ در محیط رایانش ابری میباشد.
امتيازات بارز ابرها توجه بسياري از سازمان¬ها را به خود جلب كرده است، اما جنبهاي كه هنوز باعث عقب نشيني بسياري از سازمان¬ها در برابر اين فناوري ميگردد، نحوه امن سازي دادهها در ابر و اطمينان از امنيت محيط است.
ريسكهاي بالقوه امنيت ابر و گامهاي احتمالي كاهش اين ريسكها :
1.داده ها كجا قرار گرفته اند؟
در هنگام استفاده از فناوري ابر، اين موضوع كه يك نفر از موقعيت دادهها، محل ميزباني آنها يا حتي كشوري را كه دادههاي وي در آن واقع شدهاند مطلع نباشد، بسيار محتمل است. يك گام براي امن كردن دادهها اين است كه با ارائه دهنده سرويس ابر به اين توافق رسيد كه دادهها را در يك محدوده جغرافيايي خاص نگهداري كرده و پردازش نمايد. همچنين ميتوان با استفاده از الزامات قانوني آنها را ملزم به رعايت صحت و تماميت دادهها نمود. به اين منظور بايد اين قوانين را شناخته و از نحوه اعمال آنها آگاهي داشت.
2.آيا داده ها جدا سازي ميگردد؟
فناوري ابر قادر است دادههاي بسياري از سازمانها را در يك محيط اشتراكي ذخيره نمايد و در نتيجه هزينهها را كاهش دهد. بنابراين دادههاي مشتريان در يك ابر در كنار هم قرار دارند. ارائه دهنده سرويس ابر بايد اطمينان حاصل كند كه اين دادهها جدا سازي شدهاند و ريسكهاي امنيتي كاهش يافته است. يك راه براي انجام اين كار استفاده از روشهاي رمزنگاري براي رمز كردن دادهها و اعطاي مجوز دسترسي به كليدها، به افراد خاص است. اين روشهاي رمزنگاري بايد كاملا در محيط تست گردند تا از تاثيرگذاري آنها اطمينان حاصل گردد.
3.آيا حق دسترسي كاربر قابل اعمال است؟
دادههاي حساس كه در خارج از سازمان نگهداري ميشوند داراي يك ويژگي خطرناك امنيتي هستند، چرا كه سرويسهاي برون سپاري شده از قبول مسئوليت زير معيارهاي امنيتي كه دپارتمانهاي فناوري اطلاعات به صورت داخلي اجبار مينمايند، شانه خالي ميكنند. در اينجا اعتماد ما به افراد خارج از سازمان است و در نتيجه آنها به درون سازمان ميآيند. براي كاهش خطر، ميتوان حداكثر اطلاعات مربوط به افرادي كه در تماس با دادهها هستند و نيز اطلاعاتي در مورد چگونگي كنترل دسترسي دادهها را جمع آوري نمود. 4.آيا ارائه دهنده سرويس ابري از مقررات لازم پيروي مينمايد؟
در نهايت اين سازمان است كه در برابر امنيت و قابليت اعتماد دادههاي خود مسئول است، حتي اگر اين دادهها بيرون از شركت و درون ابر نگهداري گردند. براي اطمينان از رعايت مقررات لازم، ارائه دهنده سرويس ابر بايد با شفافيت در تمامي فعاليتهاي ابري مرتبط با دادههاي هر سازمان، به ناظران خارجي اثبات نمايد كه دادههاي اين سازمانها امن است.
5.گزينههاي خروج از بحران
يك سازمان بايد با ابزارهاي مناسب، آماده مقابله با بحران و خروج از آن باشد. ارائه دهنده سرويس ابر بايد قادر باشد در زمان بحران در مورد مسائل لازم به مشتري اطلاع رساني نمايد. بايد چندين سايت وجود داشته باشد كه چند نسخه كپي از دادهها و زيرساختهاي برنامهاي در آنها به طور مكرر نگهداري گردد.
6.چگونه درباره فعاليت نامناسب يا غيرقانوني در ابر تحقيق كنيم؟
تحقيق در سرويسهاي ابري مشكل بوده يا در مواردي تقريبا غيرممكن است. با توجه به طبيعت اين سرويسها، دادههاي ثبت شده بيش از يك مشتري ممكن است باهم پيدا شوند و احتمالا دسترسي به هريك به طور مجزا مشكل است، همچنين ميزبانها و مراكز داده نيز به طور مداوم در حال تغيير هستند. در نتيجه پروسه تحقيق تقريبا غيرممكن است، مگر اينكه ارائه دهنده سرويس ابري روشي امتحان شده داشته باشد كه قابل اثبات و موثر باشد.
7.انعطاف پذيري سرور
همانطور كه قبلا اشاره شد، يكي از امتيازات فناوري ابر اين واقعيت است كه از انعطاف پذيري بالايي برخوردار است. اين مساله ميتواند مشكل زا باشد. برخي سرورها ممكن است اغلب بدون اطلاع قبلي مشتري مجددا پيكربندي گردند. اين مساله ميتواند براي برخي فناوريهاي داخل ابر كه سازمان بر آنها متكي است چالش ساز باشد، چراكه محيط، خود استاتيك نيست. اين مساله در زمان امن سازي دادهها مشكل ساز ميگردد، زيرا روشهاي سنتي امن سازي دادهها مبتني بر درك زيرساخت شبكه است، به هر حال اگر اين تغييرات به طور مداوم اعمال گردد، اين معيارهاي امنيتي سودمند نخواهند بود.
8.مدت زمان از كار افتادن ارائه دهنده سرويس
يك معيار اساسي امنيتي وجود دارد كه اغلب ناديده گرفته ميشود. مدت زمان از كار افتادن يك ارائه دهنده سرويس ميتواند براي سازمان شما مضر باشد. قابليت اعتماد با توجه به اين مساله ضروري است.
9.قابليت حيات در طولاني مدت
يك مساله در مورد يك ارائه دهنده سرويس ابري، قابليت حيات در طولاني مدت است. اينكه مشتري با چه احتمالي ديگر قادر به استفاده از يك ارائه دهنده سرويس ابري خاص نخواهد بود، چه مسيرهايي براي انتقال امن دادهها به يك ارائه دهنده سرويس ابري ديگر مورد استفاده قرار ميگيرد و نيز اينكه مشتري چگونه قادر به تامين صحت و تماميت دادههاي خود خواهد بود، بايد در نظر گرفته شود.
بررسی ادبیات موضوع
ايجاد سيستم هاي کامپيوتري بدون وجود نقاط ضعف امنيتي عملاً غيرممکن است بنابراين پژوهش در زمينه تشخيص نفوذ در سيستم¬هاي کامپيوتري حائز اهميت ميباشد. سيستم تشخيص نفوذ سخت¬افزار و يا نرمافزاري است که در صورت وجود فعاليت¬هاي مخرب و يا نقض سياست¬هاي مديريتي و امنيتي بر شبکه نظارت کرده و گزارش¬هاي حاصله را به بخش مديريت شبکه ارائه مي¬دهد. سيستم¬هاي تشخيص نفوذ وظيفه¬ شناسايي و تشخيص هر گونه استفاده غيرمجاز از سيستم، سوء استفاده و يا آسيب¬رساني بوسيله کاربران داخلي و خارجي را بر عهده دارند. هدف اين سيستم¬ها کشف و در برخي موارد شناسايي حملات و تشخيص مشکلات امنيتي و اعلام آن به مدير سيستم ميباشد و بنابراين جلوگيري از حملات بر عهده سيستمهاي پيشگيري از نفوذ ميباشد. عموماً سيستمهاي تشخيص نفوذ در كنار فايروالها و به صورت مكمل امنيتي براي آن¬ها مورد استفاده قرار مي گيرند.
سيستمهاي تشخيص و پيشگيري از نفوذ (IDPS)نفوذ را با تحليل داده جمعآوري شده تشخيص ميدهند. بطور کلی IDPSها چهار كاربرد امنيتي نظارت، تشخيص، تحليل و پاسخ به فعاليتهاي غيرمجاز را ارائه ميكنند. محیط نظارت شده می تواند شبکه ، میزبان یا کاربرد باشد و بر این اساس IDPSها دسته بندی می شوند :
NIDPS: ترافیک شبکه و فعالیت های موجود در آن را به همراه پروتکل به کار گرفته شده برای تشخیص نفوذ و فعالیت های خصمانه ی حمله گران ، تحلیل می کند .
HIDPS: از يک ميزبان در مقابل عمليات نفوذي و مخرب محافظت مي کند. اين سامانه محافظتي بر روي سيستم اجرا مي شود و از منابع خود سيستم مثل حافظه و پردازنده و ... استفاده مي کند و تمام فعاليت ها و فرآيندهاي درون سيستم را کنترل مي کند.
AIDPS: بر روي وقايعي كه در برنامههاي كاربردي خاصي روي ميدهد تمركز ميكند و اين كار را از طريق تحليل فايلهاي ثبت وقايع يا اندازهگيري عملكرد آنها انجام ميدهد.
تشخیص در IDPS ها به حالات زیر انجام می شود :
تشخيص مبتني بر استفاده نادرست :
استفاده از الگوي خاص- شناسایی رفتارهای غیرمجاز(امضا)- پيشبيني و تشخيص تلاشهاي مشابه بعدي .
تشخيص مبتني بر ناهنجاري:
طراحي شده برای كشف الگوهاي غيرطبيعي- ایجاد یک مبنا برای الگوهاي استفاده نرمال توسط IDPS- تشخیص هر تخطی از مبنا به عنوان نفوذ (هر واقعهاي كه با تناوب بزرگتر يا كمتر از دو انحراف استاندارد از هنجار آماري و بصورت منحني افزايش پيدا كند، ناهنجاری به حساب می آید.)
تشخيص به روش تركيبي:
ايده اصلي اين است كه روش مبتني بر استفاده نادرست ، حملات شناخته شده را تشخيص ميدهد در حالي كه روش مبتني بر ناهنجاري حملات ناشناخته را تشخيص ميدهد.
سال | تكنيك تشخيص | طرح فناوري | زمان تشخيص | محل | مزايا/معايب |
---|---|---|---|---|---|
2012 | مبتني بر امضا | بيسيم | بلادرنگ | شبكه | از كمترين منابع شبكه استفاده ميكند |
2012 | سيستم ايمني مصنوعي | بيسيم (عامل سيار) | بلادرنگ | ميزبان | مناسب تشخيص سريع ولي ضعف در اطمينان و دقت نفوذ |
2010 | الگوريتم ژنتيك | سيمي بلادرنگ | ميزبان | انواع حملات به پايگاه داده مطرح شده است | |
2010 | تركيبي (امضا و ناهنجاري) | بيسيم | بلادرنگ | برنامه كاربردي | هزينه پردازشي پايين |
2010 | سيستم ايمني (الگوريتم انتخاب clonal پويا) | بيسيم (عامل سيار) | بلادرنگ | شبكه | قابليت كار با حجم زياد ترافيك داده در شبكه |
2009 | تركيبي (امضا و ناهنجاري) | سيمي | بلادرنگ | ميزبان | تنها يك ميزبان را پوشش ميدهد |
2009 | داده كاوي (طبقهبندي نظارتشده) | بيسيم (عامل سيار) | بلادرنگ | شبكه | مقياس پذيري طولي و زمان پاسخ كم |
2009 | تركيبي (تشخيص ناهنجاري و استفاده نادرست افزايشي) | نامشخص | بلادرنگ | شبكه | مقياس پذيري طولي و زمان پاسخ كم |
2009 | قواعد انجمني فازي | بيسيم | بلادرنگ | شبكه | پيچيدگي محاسباتي كم |
2009 | استدلال موردي و مدل عصبي بدون ناظر | بيسيم (عامل سيار) | بلادرنگ | شبكه | پيامهاي هشدار كاذب كم |
2008 | متأثر از ايمني و عامل محور | بيسيم | بلادرنگ | شبكه | قابليت كار با حجم زياد ترافيك داده در شبكه |
2007 | تركيبي (امضا و ناهنجاري) | سيمي | بلادرنگ | شبكه | تاثير كمينه بر عملكرد كلي شبكه |
2006 | تركيبي (سيستم ايمني) | نامشخص | بلادرنگ | شبكه | راحتي تطبيق با محيط پوياي متغيير شبكه |
در محيط ابري وجود IDS ضروريست زيرا استفاده كنندگان نميتوانند همواره بر امنيت زيرساخت فراهم كنندگان ابري اعتماد كنند. استفاده كنندگان ابر ممكن است براي نظارت و حفاظت از موجوديتهاي مجازي نياز به استفاده از IDS با تكنولوژيهاي امنيتي ديگر شبكه مانند فايروال، كنترلهاي دسترسي و رمزنگاري دادهها در ابر داشته باشند. بنابراين مشتريان نياز دارند تا بتوانند سيستمهاي تشخيص نفوذ را در محيط مجازي خود توسعه دهند. IDS در محيط ابري نيازمنديهاي زير را دارند:
IDS بايد بتواند چندين ماشين مجازي را با توجه به نيازهاي نرمافزاري نظارت كند. مشتريان ابر بايد بتوانند مديريت IDS را خودشان كنترل كنند. IDSهاي مبتني بر ابر بايد بتوانند قوانين سفارشي IDS (امضاي حملات) را با هم تركيب كنند. قوانين سفارشي توسط مدير امنيتي با توجه به نيازهاي امنيتي نوشته ميشود. استفاده كنندگان ابر بايد بتوانند پوشش حفاظتي خود را بر اساس ميزان و محل تحليل دادهها توسعه بخشند.
چالشهاي به كارگيري IDPS در محيطهاي رايانش ابري :
با توجه به ويژگيهاي محيط ابري بطور خلاصه اين نتيجه گرفته ميشود كه سيستمهاي جاري مناسب به كارگيري در محيطهاي ابري نيستند زيرا هيچ IDPS سنتي وجود ندارد كه به صورت كارآمد بتواند ويژگيهاي ابري را ارضا كند.
بسيار مهم است كه چالشهاي موجود در رايانش ابري قبل از به كارگيري IDPS در آن بررسي شود. چالشهاي خاص كه توسط توسعهدهندگان در زمان به كارگيري IDPS در محيطهاي رايانش ابري با آن مواجه ميشوند عبارتند از:
1- در IDPS متعارف (سنتي) با توجه به ماهيت ايستا در سيستمهاي مانيتور شده، سياستهاي امنيتي گرايش به ايستايي دارند زيرا گروههاي نود نيازمنديهاي ثابت دارند كه در طول زمان مشخص ميشود. در مقايسه با حالت متعارف ماشينهاي مجازي مانيتور شده به صورت پويا اضافه و حذف ميشوند. بعلاوه نيازمنديهاي امنيتي هر ماشين مجازي متفاوت خواهد بود.
2- سياستهاي امنيتي عموماً توسط مدير سيستم مديريت و ايجاد ميشوند كه مسئوليت امنيتي كل سيستم را برعهده دارد. محيط ابري چندين مدير امنيتي دارد؛ اين موضوع تأثير منفي بر زمان پاسخ به نفوذ را در پي دارد. مداخله انساني ممكن است سرعت پاسخ را كاهش دهد. 3- فعاليتهاي خصمانه توسط مهاجم داخلي به راحتي در يك فراهم كننده سرويس ابري امكانپذير است. ضمناً پژوهشهاي اخير نيز نشانگر اين موضوع است كه اغلب مهاجمان داخلي هستند . بيشترين پيشنهادات موجود جهت حل اين مشكل كنترل فعاليتهاي كاركنان و قاعدهمند كردن سياستهاي فراهم كنندگان ابري ميباشد .
4- زيرساخت اشتراكي و تكنولوژي مجازيسازي آسيبپذيري بيشتري به محيط ابر وارد ميآورد. هر مشكلي در Hypervisor موجب دسترسي و كنترل نامناسب به بستر ميشود.
5- يكي از پيامدهاي بسيار مهم در رايانش ابري هزينه انتقال داده ميباشد [28]. براي مثال در ابر آمازون هزينه انتقال داده تقريباً 100 تا 150 دلار در هر ترا بايت است. بنابراين پژوهشهاي جديد بايد راهكارهاي موثر در هزينه براي IDPS در محيط ابري با كاهش پهناي باند شبكه ارائه كنند.
6- پيامدي ديگر نگراني در مورد قابليت ديده شدن ترافيك ماشين مجازي داخلي در بستر مجازي است زيرا سوييچهاي اين محيط نيز مجازي هستند. بنابراين راهكارهاي متداول و سنتي براي نظارت فيزيكي قادر به رسيدگي به اين چنين ترافيكي در شبكه نيستند. بعلاوه بسترهاي جديد در مجازي سازي خود ممكن است آسيبپذيريهايي داشته باشند كه منجر به مشكلات جدي شوند بنابراين بايد نظارت شده و براي خطاها و بستههاي رفع كننده خطا پيكربندي شوند. 7- معمولاً هر شركت روالهاي امنيتي را در يك پروفايل ريسك قرار ميدهد. اما فراهم آورندگان سرويس ابري حاضر به تهيه ثبت وقايع امنيتي، دادههاي مميزي و فعاليتهاي امنيتي نيستند .
8- كمبود شفافيت در امور مديريت امنيت مانند مميزي، سياستهاي امنيتي، ثبت وقايع، آسيبپذيري و پاسخ به وقايع، منجر به ناكارآمدي تكنيكهاي مديريت ريسك در فقدان آگاهي مشتري ميشود. بعلاوه پيگرد دادهها در بسترهاي متفاوت و سياستهاي دسترسي مختلف فراهم آورندگان سرويس و همچنين لايههاي سختافزاري و نرمافزاري متنوع در يك فراهم كننده امري چالش انگيز ميباشد.
9- در رايانش ابري حجم زيادي از داده جهت دسترسي بيشتر به شبكه وجود دارد بنابراين IDS در اين محيط بايد بر نويز و مثبتهاي كاذب غلبه كند. از آنجايي كه زير ساخت محيط ابري ترافيك حجيمي دارد IDSهاي سنتي قادر به مديريت چنين حجمي از داده نيستند. در IDSهاي سنتي بعد از تشخيص به مدير هشدار داده ميشود اما در شبكه ابري IDS بايد در سرور و تمامي نقاط مديريتي در فراهم كننده سرويس موجود باشد. بنابراين جهت اطمينان بيشتر كاربر نهايي، بايد يك ناظر سومي وجود داشته باشد تا كاربر را از حملات آگاه سازد.
10- ضعف HIDS و NIDS سنتي: در محيط ابر با وجود NIDS امكان حمله بي سرو صدا وجود دارد زيرا اغلب ارتباطات بصورت رمز شده است. در HIDS نيز حملات خاص ابر لزوماً رد پايي در سيستم عامل قرباني به جاي نميگذارند و مخفي هستند. در نتيجه IDSهاي سنتي مناسب محيط پويا و توزيع شده ابر نيست. NIDSها در صورت استفاده در محیط ابر نرخ تشخیص پایینتر، مثبت کاذب بالاتر و نسبت به نقطه شکست یکتا ضعف دارند بنابراین از سیستمهای تشخیص نفوذ چندگانه برای حفاظت از هر ماشین مجازی استفاده میشود.
11- مقاومت در برابر حمله HIDS و NIDS: NIDS نظارت و مقاومت بهتري در برابر حمات نشان ميدهد اما از كمبود دانش نسبت به ميزبان رنج ميبرد. در مقابل HIDS امنيت ميزبان را فراهم ميكند اما توانايي تشخيص و مقاومت در برابر حملات ساير ميزبانها و شبكه را ندارد. 12- IDS چند رشتهاي در ابر: اغلب IDSهاي شناخته شده تك رشتهاي هستند و با توجه به حجم عظيم ترافيك و جريان داده نياز به IDS چند رشتهاي در محيط ابري ميباشد.
13- راهكار IDS يكپارچه در ابر: طبيعت توزيع شده زير ساخت ابر و الگوي سرويسگراي آن، موجب آسيب پذيري بسيار نسبت به حملات ميگردد. يك مجموعه قوانين تنها براي تشخيص حملات با توجه به طبيعت گوناگون ابر مناسب نيست. بنابراين IDS ابري نيازمند راهكارهاي يكپارچه براي ارتباط ميان سنسورها ميباشد.
14- تكنيكهاي IDSهاي بهينه براي ابر: حملات پيچيده و توزيع شده با IDSهاي موجود قابل شناسايي نيستند. پژوهشگران از تكنيكهاي مبتني بر رفتار و دانش جهت شناسايي استفاده ميكنند كه در IDSهاي بهينه ميتواند جهت شناسايي حملات پيچيده آتي بكار رود.
بدنه تحقیق
HCIDS :
تا کنون مکانیزم های مختلفی جهت برقراری ابعاد مختلف امنیت توسط مقالات ارائه شده و تعدادی نیز به کار گرفته شده اند . یکی از این مکانیزم ها که بر بستر چارچوب عملیاتی اوکالیپتوس (Eucalyptus)بنا می شود ، HCIDS یا سیستم تشخیص نفوذ مبتنی بر هایپروایزور در محیط ابر می باشد که معماری ای با استفاده از تکنولوژی مجازی سازی و پارامترهای کارآیی هایپروایزور ارائه می دهد .از جمله این پارامترها ، تعداد بسته های دریافت / ارسال شده ، درخواست های خواندن / نوشتن از دیوایس ها و بهره وری پردازنده می باشند که از طریق آن ها نشان می دهیم که فعالیت های مشکوک را می توان بدون داشتن اطلاعات جزئی از سیستم عامل ماشین مجازی ، تشخیص داد . این سیستم IDS ، نیاز به نصب هیچ نرم افزار اضافه ای بر ماشین مجازی ندارد و نسبت به IDS های مبتنی بر هاست و شبکه امتیازات زیادی دارد .
IDS ، یک روش کنترل امنیتی اتوماتیک می باشد که دو مدل دارد :
Host based – Network based
مدل مبتنی بر شبکه ، معمولاً در شناسایی حملات خارجی مٌوثرست و مانند فایروال ، در محیط ابر به دلیل ذات اشتراکی ابر ، زیاد مٌوثر نیست .
مدل مبتنی بر میزبان ، می تواند مٌوثر باشد اما باید توسط کاربران ابر مانیتور و مدیریت شود که می تواند برای کاربرانی که چندین نمونه (instance) در ابر دارند کار پیچیده ای باشد . در این مقاله IDS مبتنی بر هایپروایزور پیشنهاد شده که پارامترهای سیستم برای نمونه های ابر را مستقیم از هایپروایزور چک می کند و بخش های بدرفتار را پیدا می کند .
این سیستم با استفاده از SIGNATURE های گسترش یافته می تواند 100% انواع حملات DOS را تشخیص دهد . چارچوب کاری از سه کامپوننت زیر تشکیل شده است :
نود کنترل گر ، نود end point و سرویس تذکر . کنترل گر وظیفه تحلیل نزدیک به real time داده های کارآیی برای هر ماشین مجازی در ابر را دارد . نود های end point وظیفه ی جمع آوری از هر ماشین مجازی بر هایپروایزور ها و ارائه ی آن به نود کنترل گر را دارند .این کامپوننت ها می توانند عامل هایی(agent) روی هر ماشین فیزیکی شامل هایپروایزور باشند یا درون هایپروایزور تعبیه شده باشند یا API call به هایپروایزور باشند . این نود ها خارج ماشین های مجازی قرار می گیرند و نمی توانند توسط کاربران ابر دستکاری شوند . سرویس تذکر ، زمانیکه یک حمله تشخیص داده شد ، وظیفه ایجاد اخطار را دارد . این اخطار می تواند به شکل پیامی در یک فایل لاگ، ایمیل یا ورودی ای به یک سیستم IDS دیگر باشد . این معماری در شکل زیر مشخص شده است :
هایپروایزورها به داده های کارآیی ماشین های مجازی مهمان دسترسی دارند که موجب تشخیص فعالیت هایی که در آن ها اتفاق می افتد می شود بدون اینکه از جزئیات سیستم عامل یا برنامه های کاربردی آن ها اطلاعاتی داشته باشند .
پیاده سازی HCIDS :
Eucalyptus از پنج بخش اصلی تشکیل شده : کنترل گر ابر ، walrus ، کنترل گر خوشه ، کنترل گر ذخیره ، و یک یا چند کنترل گر نود که در محیط تستی ما، همگی بجز کنترل گر نود روی یک سرور فیزیکی قرار می گیرند و دو کنترل گر نود بر ماشین های فیزیکی جدا . نود کنترل گر ، روی ماشینی خارج زیرساخت Eucalyptus قراردارد و از محصول IBM InfoSphere Streams استفاده شده و منطق آن با استفاده از زبان IBM Streams Processing Language پیاده سازی شده و به سوکت UDP گوش می دهد. Sliding window های 10 ثانیه ای داده های درصد بهره وری پردازنده ، نوشتن / خواندن دیوایس ها، پکت های دریافتی/ارسالی را جمع آوری می کنند و میانگین و بیشینه ی مقادیر محاسبه می شوند . بی نظمی ها ، مقادیری اند که دوبرابر مقدار میانگین مقدار دارند . Sliding window های 3 ثانیه ای برای تشخیص حمله بکار می روند و اگر یک بی نظمی بیش از 3 بار تکرارشود، به عنوان یک الگوی حمله تگ زده می شود .
محصول IBM InfoSphere Streams نقش سرویس اخطار را بازی می کند . یک وب سرور Apache بر روی ابر که میزبان یک صفحه وب که خواندن/نوشتن های رندوم با سایزهای مختلف در بازه های دو و پنج ثانیه انجام می دهد ، قرار دارد .در یک بار تست، اجرای کار ، بدون workload کاربر می باشد .اجرای بعدی با ارتباط همزمان پنج کاربر با صفحه وب سرور HTTP ابر همراه است و اجرای سوم با workload ده کاربر . دو نوع حمله ی DOS بررسی شده اند : حمله ی سیل آسای HTTP در برابر یک نمونه ی ابر و حمله ی سیل آسای SYN از نمونه ی ابر در برابر یک ماشین مجازی دیگر در ابر .حمله اول با ابزار DoSHTTP از بیرون محیط ابر با استفاده از یک ماشین windows 7 انجام می شود که از 500 سوکت برای ایجاد 10,000 درخواست استفاده می کند . حمله دوم با ابزار hping3 پیاده سازی می شود. تنوع در بار کاری، باعث افزایش کیفیت تست می شود .
سه هدف برای signature های حمله وجوددارد . اولین، کاهش یا حذف کردن false positives است . false positive زمانی رخ می دهد که یک استفاده ی نرمال، به عنوان حمله شناخته
می شود .دومی ، تشخیص تمامی حملات موجود می باشد و سومی دسته بندی درست حمله می باشد (برای پاسخگویی درست به حمله) .
هر signature ترکیبی از پنج متغیر هایپروایزور می باشد : نوشتن / خواندن دیوایس های بلاک، پکت های دریافتی/ارسالی و بهره وری پردازنده .
یک signature، با مقادیر بولین (Boolean) برای هر پارامتر کارآیی معین می شود . یک پارامتر ، true تلقی می شود اگر چندین بار به عنوان بی نظمی در سه تا 10 ثانیه ی متوالی شناخته شود .این تکنیک ، false positives را کاهش می دهد . بدین ترتیب ، الگوها برای حملات DOS کد می شوند و این الگوها ، signature حمله را بیان می کنند .
جدول زیر signature های حمله را تحت هر سه شرایط نشان می دهد :
جهت اندازه گیری دقت signature ها ، سه اجرای تستی انجام می شود : حمله DOS مقابل نمونه ، حمله DOS از سوی نمونه و حالت پایه که هیچ حمله ای انجام نمی شود که هریک پانزده دقیقه طول می کشد .
نتیجه گیری
مراجع
Yang Song, Gabriel Alatorre, Nagapramod Mandagere, and Aameek Singh , “Storage Mining: Where IT Management Meets Big Data Analytics”, (San Jose CA 95120: IBM Almaden Research Center), 2013 .
Tamás Orosz , István Orosz , “Company level Big Data Management” , 9th IEEE International Symposium on Applied Computational Intelligence and Informatics , Timişoara, Romania ,May 15-17, 2014 .
Arjun Kumar1 , HoonJae Lee2, , Rajeev Pratap Singh “Efficient and Secure Cloud Storage for Handling Big Data”, 1Department of Ubiquitous-IT, Busan, 617-716, Korea , 2Department of Computer and Information Engineering Dongseo University , Department of Computer Science and Engineering ABV - Indian Institute of Information Technology and,India-474015, 2012 .
Yuri Demchenko, Zhiming Zhao, Paola Grosso, Adianto Wibisono, Cees de Laat,” Addressing Big Data Challenges for Scientific Data Infrastructure” , 2012 IEEE 4th International Conference on Cloud Computing Technology and Science, System and Network Engineering Group, University of Amsterdam, Amsterdam, The Netherlands,2012 .