اراده یک چارچوب توسعه مقیاس پذیر تشخیص نفوذ برای رایانش ابری

عنوان پایان‌نامه

اراده یک چارچوب توسعه مقیاس پذیر تشخیص نفوذ برای رایانش ابری

دانشجو در تاریخ ۱۷ تیر ۱۳۹۳ ، به راهنمایی ، پایان نامه با عنوان "اراده یک چارچوب توسعه مقیاس پذیر تشخیص نفوذ برای رایانش ابری" را دفاع نموده است.

رشته تحصیلی: مهندسی فناوری اطلاعات

مقطع تحصیلی: کارشناسی ارشد

محل دفاع: کتابخانه مرکزی پردیس 2 فنی شماره ثبت: E 2554;کتابخانه مرکزی -تالار اطلاع رسانی شماره ثبت: 65308

تاریخ دفاع: ۱۷ تیر ۱۳۹۳

دانشجو: حمیدرضا قربانی

استاد راهنما: محمود رضا هاشمی

چکیده

لینک فایل چکیده

محیط محاسبات ابری تامین کننده‌ی دسترسی به منابع و سرویس‌های ذخیره‌سازی و محاسباتی از طریق شبکه و به صورت پرداخت در قبال استفاده است. ابر با استفاده‌ی بهتر از منابع باعث کاهش هزینه‌ی دسترسی به خدمات برای افراد می‌شود. خدمات ابرشامل نرم‌افزار به عنوان یک سرویس ، بستر به عنوان یک سرویس و زیرساخت به عنوان یک سرویس می‌شود. از آنجا که محیط محاسبات ابری یک محیط به اشتراک گذاشته شده است بنابراین در معرض حمله‌های گوناگونی از جمله حمله‌های مبتنی بر میزبان و حمله‌های مبتنی بر شبکه می‌باشد؛ بگونه ای که امینت بعنوان مهمترین چالش پیش روی این حوزه مطرح است. سیستم‌های تشخیص نفوذ یکی ابزارهای امنیتی هستند که از گذشته تا کنون کاربرد وسیعی داشته و می‌توانند جهت بالا بردن سطح امنیتی در محیطهای مختلف مانند ابر نیز به کار روند بمنظور توسعه یک سیستم تشخیص نفوذ در محیط ابر و بالا بردن سطح امنیتی آن، بایستی ویژگیهایی از این محیط را که این فرایند توسعه را متاثر میسازند مدنظر قرار داد. کارایی مناسب، مقیاس پذیری، تنوع زیاد کاربران و سرویسها، پویایی استفاده از خدمات از جمله جوانبی است که در این راستا بایستی مدنظر قرار داد. با الهام گرفتن از این جوانب در این پایان نامه رویکردی پیشنهاد شده است که سیستم تشخیص نفوذی برای این محیط توسعه داده شود تا بتواند حتی الامکان این نیازمندیها را پوشش دهد. رویکرد پیشنهادی سعی برآن داشته است که با شناسایی تفاوتهای میان نیازمندیهای امنیتی سرویسها و کاربران مختلف این محیط،که ناشی از تنوع بالای محیط ابر است، ضمن شکل دهی گروه‌هایی از کاربران هم‌نیاز، رویکرد امنیتی مناسب با نیاز هر گروه را برای آن توسعه دهد. این مهم سبب خواهد شد که در مقایسه با رویکردی که در آن این تمایز و گروه‌بندی وجود ندارد بتوان بصورت مناسبی از منابع موجود بهره گرفت چراکه متناسب با هر نیاز منابع مصرف خواهند شد. در این پایان نامه پیشنهاد گردیده است که سیاست ایجاد تمایز میان نیازمندیهای امنیتی که بعنوان مبنای شکل‌گیری گروه‌ها مطرح خواهد بود، بر اساس سه اصل امنیتی دسترس‌پذیری ، محرمانگی و صحت قرار گیرد و کاربران در میان این سه گروه توزیع شوند. به عبارت دیگر، برای تامین امنیت در محیط محاسبات ابری، پس از شناسایی اولویت‌های امنیتی نیازمندی‌های مختلف هر گروه می‌توان رویکرد مناسب توسعه‌ی راهکار امنیتی برای آنرا در پیش گرفت. نتایج حاصل از ارزیابی ها نشان می دهد که رویکرد پیشنهادی توانسته است عملکرد قابل قبولی داشته باشد. بصورت دقیق‌تر، رویکرد پیشنهادی در مقایسه با رویکردی که در آن از سیاستهای امنیتی یکسان برای تمامی کاربران استفاده می‌شده است توانسته است با پرداخت هزینه‌ی کاهش نامحسوس 2درصدی در دقت، کاهش محسوس 15درصدی در زمان کشف را بهمراه داشته باشد. همچنین رویکرد پیشنهادی بر اساس معیارهای میزان حافظه‌ی مصرفی و نرخ از دست رفتن بسته ها بترتیب با کاهش نامحسوس 2و 4 درصدی روبرو بوده است. کلمات کلیدی:رایانش ابری، سیستمهای تشخیص نفوذ، امنیت ابر، امنیت

Abstract

Cloud computing environment is provided to facilitate pay as you go model for usage and access to storage and computing resources and services through the internet or networks. Cloud computing can reduce costs through more efficient usage of resources. Various levels and models of cloud services are available to users and can meet various requirements in different scales. These services generally include software as a service, platform as a service, and infrastructure as a service. Since cloud computing is a shared environment, therefore it is exposed to various attacks, including attacks on host-based and network-based systems. Hence so security is one of the most important challenges in this area. Intrusion detection systems are an important security tool and can be used to enhance the security level in different environments likes cloud environment. In order to develop an intrusion detection system in cloud computing environment and enhance its security level, the inherent features of this environment must be considered in the process. Performance, dynamicity, high diversity of users/services, and scalability are aspects that must be considered in this context. Inspired by these aspects, in this thesis, an intrusion detection system is proposed to cover the mentioned requirements. The proposed approach attempts to identify the differences between the needs of different users, security services and the environment (due to the high variability of the environment) and then creates groups of users with similar needs and security policies tailored to the needs of each group. Compared to the approaches in which there is no distinction and grouping mechanism, this approach uses resources more efficiently due to the on demand use of resources. The results of evaluations indicate that the proposed approach makes considerable enhancement in the performance; the proposed approach is compared to an approach where a security policy has been the same for all users. Results indicate a slight decrease of 2% in accuracy with significant decline of 15% in detection time. Also, the proposed approach has decreased memory usage and packet loss rate by 2% and 4%, respectively.