آموزش انجام پایان نامه امنیت در رایانش ابری

از سلسله آموزش های تخصصی انجام پایان نامه موسسه ادیب مشاور، در این مقاله چگونگی انجام پایان نامه در حوزه امنیت در شبکه های کامپیوتری آموزش داده می شود. مقاله زیر فصل اول پایان نامه با عنوان "جلوگیری از حملات انکار سرویس در رایانش ابری" می باشد که امیدواریم مورد توجه شما عزیزان قرار بگیرد.

 

 

انجام پایان نامه ارشد و دکتری موسسه ادیب مشاور

1-1   مقدمه

در ابتدای این پایان­ نامه سعی بر آن داریم تا با ارائه تاریخچه مختصری از شبکه­ های کامپیوتری و محاسبات ابری و نقش امنیت در شبکه مرکز محاسبات ابری زمینه ورود خواننده به مساله اصلی پایان نامه را فراهم آوریم.

1-1-1 تاریخچه شبکه­ های کامپیوتری

در سال ۱۹۵۷ نخستین ماهواره، یعنی اسپوتنیک توسط اتحاد جماهیر شوروی سابق به فضا پرتاب شد. در همین دوران رقابت سختی از نظر تسلیحاتی بین دو ابرقدرت آن زمان جریان داشت و دنیا در دوران جنگ سرد به سر می­برد. وزارت دفاع آمریکا در واکنش به این اقدام رقیب نظامی خود، آژانس پروژه­های تحقیقاتی پیشرفته یا آرپا(ARPA)  را تاسیس کرد. یکی از پروژه­های مهم این آژانس تامین ارتباطات در زمان جنگ جهانی احتمالی تعریف شده بود. در همین سال­ها در مراکز تحقیقاتی غیر نظامی که بر امتداد دانشگاه­ها بودند، تلاش برای اتصال کامپیوترها به یکدیگر در جریان بود. در آن زمان کامپیوترهای پردازنده مرکزی (Mainframe) از طریق ترمینال­ها به کاربران سرویس می­دادند. در اثر اهمیت یافتن این موضوع آژانس آرپا(ARPA)  منابع مالی پروژه اتصال دو کامپیوتر از راه دور به یکدیگر را در دانشگاه ماساچوست (MIT - Massachusetts Institute of Technology)  بر عهده گرفت. در اواخر سال ۱۹۶۰ اولین شبکه کامپیوتری بین چهار کامپیوتر که دو تای آنها در ماساچوست، یکی در دانشگاه کالیفرنیا و دیگری در مرکز تحقیقاتی استنفورد قرار داشتند، راه­اندازی شد. این شبکه آرپانت نامگذاری شد. در سال ۱۹۶۵ نخستین ارتباط راه دور بین دانشگاه ماساچوست و یک مرکز دیگر نیز برقرار گردید. در سال ۱۹۷۰ شرکت معتبر زیراکس یک مرکز تحقیقاتی در پالوآلتو تاسیس کرد. این مرکز در طول سال­ها مهمترین فناوری های مرتبط با کامپیوتر را معرفی کرده است و از این نظر به یک مرکز تحقیقاتی افسانه­ای بدل گشته است. این مرکز تحقیقاتی که پارک(PARC – Palo Alto Research Center Incorporated)  نیز نامیده می شود، به تحقیقات در زمینه شبکه­های کامپیوتری پیوست. تا این سال­ها شبکه آرپانت به امور نظامی اختصاص داشت، اما در سال ۱۹۲۷ به عموم معرفی شد. در این سال شبکه آرپانت مراکز کامپیوتری بسیاری از دانشگاه­ها و مراکز تحقیقاتی را به هم متصل کرده بود. در سال ۱۹۲۷ نخستین نامه الکترونیکی از طریق شبکه منتقل گردید. در این سال­ها حرکتی غیر انتفاعی به نام مریت (MERIT) که چندین دانشگاه بنیان گذار آن بوده­اند، مشغول توسعه روش­های اتصال کاربران ترمینال­ها به کامپیوتر مرکزی یا میزبان بود. مهندسان پروژه مریت در تلاش برای ایجاد ارتباط بین کامپیوتر­ها، مجبور شدند تجهیزات لازم را خود طراحی کنند. آنان با طراحی تجهیزات واسطه برای مینی کامپیوتر دی-ای-سی-پی-دی-پی 11 (DECPDP 11)، نخستین بستر اصلی(Backbone)  شبکه کامپیوتری را ساختند. تا سال­ها نمونه های اصلاح شده این کامپیوتر با نام پردازنده اصلی ارتباط   (Processor Communications Primary) نقش میزبان را در شبکه­ها ایفا می­کرد. نخستین شبکه از این نوع که چندین ایالت را به هم متصل می کرد میچنت (Michnet)  نام داشت. روش اتصال کاربران به کامپیوتر میزبان در آن زمان به این صورت بود که یک نرم افزار خاص بر روی کامپیوتر مرکزی اجرا می­شد و ارتباط کاربران را برقرار می­کرد. اما در سال ۱۹۷۶ نرم افزار جدیدی به نام هرمس (Hermes) عرضه شد که برای نخستین بار به کاربران اجازه می داد تا از طریق یک ترمینال به صورت تعاملی مستقیما به سیستم مریت متصل شوند. این، نخستین باری بود که کاربران می توانستند در هنگام برقراری ارتباط از خود بپرسند: کدام میزبان؟

 از وقایع مهم تاریخچه شبکه­های کامپیوتری، ابداع روش سوئیچینگ بسته ای (Switching Packet) است. قبل از معرفی شدن این روش از سوئیچینگ مداری (Switching Circuit) برای تعیین مسیر ارتباطی استفاده می­شد. اما در سال ۱۹۷۴ با پیدایش پروتکل ارتباطی تی-سی-پی آی-پی (TCP/IP) از مفهوم سوئیچینگ بسته­ای استفاده گسترده­تری شد. این پروتکل در سال ۱۹۸۲ جایگزین پروتکل ان-سی-پی (NCP) شد و به پروتکل استاندارد برای آرپانت تبدیل گشت.

در همین زمان یک شاخه فرعی به­نام میلنت (MILnet) در آرپانت همچنان از پروتکل قبلی پشتیبانی می­کرد و به ارائه خدمات نظامی می­پرداخت. با این تغییر و تحول، شبکه­های زیادی به بخش تحقیقاتی این شبکه متصل شدند و آرپانت به اینترنت تبدیل گشت. در این سال­ها حجم ارتباطات شبکه­ای افزایش یافت و مفهوم ترافیک شبکه مطرح شد. مسیر­یابی در این شبکه به کمک آدرس های IP به صورت ۳۲ بیتی انجام می­گرفته است. هشت بیت اول آدرس IP به شبکه­های محلی تخصیص داده شده بود که به سرعت مشخص گشت تناسبی با نرخ رشد شبکه­ها ندارد و باید در آن تجدید نظر شود. مفهوم شبکه­های LAN (Local Area Network) و شبکه­های WAN (Wide Area Network)  در سال­های دهه ۷۰ میلادی از یکدیگر تفکیک شدند. در آدرس دهی ۳۲ بیتی اولیه، بقیه ۲۴ بیت آدرس به میزبان در شبکه اشاره می­کرد. در سال ۱۹۸۳ سیستم نامگذاری دامنه­ها(System Name Domain)  به وجود آمد و اولین سرویس دهنده نامگذاری(Server Name)  راه اندازی شد و استفاده از نام به جای آدرس­های عددی معرفی شد. در این سال تعداد میزبان­های اینترنت از مرز ده هزار عدد فراتر رفته بود.

1-1-2 تاریخچه رایانش ابری

فراهم نمودن امکانات لازم برای ارائه سرویس ­های مطلوب در حوزه فناوری اطلاعات، سرمایه­ گذاری فراوانی را طلب می­کند. بکارگیری روش­ ها و تکنیک ­های جدید می­تواند به کاهش هزینه­ ها و افزایش امکانات یاری رساند. در این راستا مجازی­ سازی یکی از ایده­ های موثر و مفید می­باشد که می­ تواند به عنوان یک تکنولوژی جدید مطرح گردد. این تکنولوژی امکان تجمیع و یکپارچگی منابع سخت افزاری و نرم افزاری مختلف را فراهم نموده و آن­ها را برای اجرا به صورت گسترده آماده می­ کند، به طوری که همه کاربران احساس می­کنند به محیط­ های اختصاصی خود دسترسی دارند.

رایانش بر اساس (Armbrust, 2010)، این­گونه تعریف شده است:

رایانش ابری مدلی است که بر حسب تقاضای شبکه، دسترسی آسان و فراگیر به مجموعه عظیمی از منابع محاسباتی قابل تنظیم(همانند شبکه­ ها، سرورها، فضای ذخیره­ ساز، برنامه ­های کاربردی و سرویس ­ها) را به سرعت و بدون دخالت سرویس دهنده در محیط مجازی  به راحتی ممکن می سازد.

انجام پایان نامه کامپیوتر رایانش ابری

رایانش ابری از سه لایه زیرساخت، پلتفرم و نرم­افزار کاربردی تشکیل شده است. در پایین­ترین سطح که لایه زیرساخت به عنوان سرویس (Infrastructure as a Service) نامیده می­شود، لایه میانی یا پلتفرم به عنوان سرویس(Platform as a Service) میزبان محیط­های مختلف برای ارائه خدمات می­باشد و در آخر، بالاترین لایه

نرم­افزار کاربردی به عنوان سرویس (Software as a Service) است که دسترسی به این خدمات از طریق وب­سرویس­ها و مرورگرهای وب صورت می گیرد.

تاکنون تحقيقات بسياري در خصوص معماری، مدل­های پیاده­سازی، نحوه استفاده، امنیت و چالش­های پیش رو رايانش ابري انجام شده است. آنچه که هدف همه اين تحقيقات و فعاليت­هاست، اين است که بتوان از منابع توزيع شده و بسيار زيادي که در ابر و در سطح مراکز داده فراهم شده است بطور حداکثر و با امنیت بالا استفاده کرد.

 براساس (Dillon, 2010)، امنیت به عنوان مهم­ترین چالش رایانش ابری از میان هفت چالش موجود شناخته شده است.

 امنیت رایانش ابری زیر مجموعه­ای از امنیت کامپیوتری، امنیت شبکه و در حالت کلی­ تر امنیت اطلاعات به حساب می ­آید. این مفهوم شامل مجموع ه­ای از سیاست­ ها، تکنولوژی­ ها و کنترل­ ها جهت محافظت از داده­ ها، برنامه ­ها و زیرساخت­ های امنیتی در محاسبات ابری است.

شرکت­ ها و سازمان­ های بزرگ از سرویس­ های مختلف رایانش ابری در مدل ­های مختلف (خصوصی، عمومی و ترکیبی) استفاده می کنند. مسائل و نگرانی ­های امنیتی در ارتباط با محاسبات ابری وجود دارد اما تمام این نگرانی ­ها به 2 دسته کلی تقسیم می­شوند: (Carlin, 2011)

  1. مسائل امنیتی مربوط به فراهم­کنندگان محاسبات ابری
  2. مسائل امنیتی مربوط به مشتریان

در اغلب موارد، فراهم­کننده باید از ایمن­بودن زیرساخت و بستر مطمئن باشد و از داده­های مشتریانش و برنامه­های کاربردی محافظت کند در حالیکه، مشتری باید از عملکرد فراهم کننده خدمات محاسبات ابری در راستای ایجاد معیارهای امنیتی مناسب برای محافظت از داده­هایش مطمئن شود.

در این تحقیق سعی بر آن داریم تا به مورد دوم، یعنی مسائل امنیتی مربوط به مشتریان بپردازیم.

1-1-3 مفهوم جریان ترافیک شبکه

در شبکه­ های مبتنی بر بسته، جریان ترافیک[1]، جریان بسته یا جریان شبکه یک دنباله­ ای از بسته­ ها از یک منبع کامپیوتر به یک مقصد می­باشد که ممکن است برای یک میزبان دیگر، فرستادن اطلاعات به چند شبکه به طور هم­زمان باشد. پروتکل RFC2722 (Brownlee, 1999) جریان ترافیک را معادل یک تماس یا ارتباط منطقی تعریف می­کند. پروتکل RFC3697 (Rajahalme, 2011) جریان ترافیک را  دنباله­ای از بسته­های اطلاعاتی که از یک منبع خاص به یک مقصد خاص یا به گروهی از کامپیوترها ارسال می­شوند تعریف می­کند. جریان می­تواند همه بسته­ها در یک انتقال داده یا جریانی از رسانه­ ها را شامل شود. به هر طریق، در یک ارتباط برای انتقال داده‌ها لازم نیست جریان به صورت ۱ به ۱ نگاشته شود. همچنین در RFC3917 جریان به عنوان یک سری از بسته‌های اطلاعاتی در حال عبور از شبکه در یک بازه زمانی خاص تعریف می‌شود.

1-1-4 مدیریت شبکه

مدیریت شبکه براى افراد مختلف معانى مختلفى مى­دهد. در بعضى موارد، مدیریت شبکه شامل یک تک مشاور است که به فعالیت شبکه بوسیله یک تحلیل­گر پروکسى قدیمى نظارت مى­کند. در بقیه موارد مدیریت شبکه شامل یک بانک اطلاعاتى توزیع شده، نمونه­بردارى خودکار از دستگاه­های شبکه و ایستگاه­هاى کارى گران­قیمت است که نماهاى بلادرنگِ ترافیک و تغییرات توپولوژى شبکه را تولید مى­کند. به­طور کلى مدیریت شبکه سرویسى است که ابزارها، برنامه­ها و دستگاه­هاى متنوعى را به­کار مى گیرد تا به مدیران شبکه در نگهدارى و مانیتور کردن شبکه­ها کمک کند. یک دیدگاه تاریخى در اوایل سال­هاى 1980 بسط شگرفى در فضاى توسعه شبکه ایجاد کرد. هنگامی­که شرکت­ها منافع مادى و سودآور خلق شده بوسیله فناوری­هاى شبکه را درک کردند، سریعاً شروع به اضافه کردن شبکه­ها و توسعه شبکه­هاى موجود هم­پاى تکنولوژی­ها و تولیدات جدید شبکه که مطرح شده بود، نمودند. در اواسط سال­هاى1980، شرکت­هاى خاص در حال تجربة افزایش مشکلات گسترش تکنولوژی­هاى مختلف (و در بعضى اوقات ناسازگار) شبکه بودند. پیوند مسائل و مشکلات با توسعه شبکه، روز به روز بر مدیریت عملکرد شبکه و طرح­ریزى استراتژیک رشد شبکه اثر گذاشت. هر تکنولوژى جدید شبکه به مجموعه کارشناسان خودش نیاز داشت. در اوایل سال­هاى 1980 به­کارگیرى پرسنل مورد نیاز فقط براى مدیریت شبکه­هاى بزرگ و ناهمگن یک بحران براى بسیارى از سازمان­ها به­وجود آورد و نیاز ضرورى به مدیریت شبکة خودکار (شامل آن چیزى که نوعاً برنامه­ریزى ظرفیت شبکه خوانده مى شود) در بین محیط­هاى گوناگون شکل گرفت. معماری­هاى مدیریت شبکه از ساختار پایه­اى و مجموعه روابط یکسان استفاده مى­کنند.

ایستگاه­هاى نهایى (دستگاه­هاى مدیریت شده) از قبیل سیستم­هاى کامپیوترى و دیگر دستگاه­هاى شبکه، هنگامى که مشکلى را تشخیص مى­دهند، نرم افزارى را راه اندازى مى­کنند که آنها را قادر مى­سازد تا هشدارهایى را ارسال کنند. (به­عنوان مثال، هنگامى که یکى از حدود آستانه­اى که کاربر تعیین کرده، از حدود خود متجاوز شود). به­محض دریافت این هشدارها، نهادهاى مدیریتی براى واکنش به این هشدار­ها به اجراى یک دستور یا مجموعه اى از اعمال که شامل موارد زیر است می­پردازند: اخطار به کاربر، ثبت رویدادها، خاموش کردن سیستم.

به­منظور تعمیر سیستم به صورت خودکار، نهادهاى مدیریتی براى کنترل مقادیر متغیرهاى مشخص مى توانند از ایستگاه­هاى نهایى، نمونه­بردارى کنند. نمونه­بردارى (polling) مى­تواند خودکار باشد یا بوسیله کاربر آغاز شود اما عامل­ها (Agents) در دستگاه­هاى مدیریت شده به همه نمونه­بردارى ها واکنش نشان مى­دهند. عامل­ها (Agents)  ماژول­هاى نرم افزارى هستند که ابتدا در جایى که مقیم هستند، اطلاعات مربوط به دستگاه­هاى مدیریت شده را کامپایل کرده و سپس این اطلاعات را در پایگاه داده مدیریت ذخیره مى­کنند و در نهایت این اطلاعات را براى نهادهاى مدیریت در سیستم­هاى مدیریت شبکه (NMS – Network Management System) توسط پروتکل­هاى مدیریت شبکه فراهم مى­کنند. پروتکل­هاى مدیریت شبکه مشهور شامل پروتکل مدیریت شبکه ساده (SNMP – Simple Network Management Protocol) و پروتکل اطلاعات مدیریت مشترک (CMIP – Common Management Information Protocol)  مى باشند. نمایندگان مدیریت نهادهایى هستند که اطلاعات مدیریت را از طرف نهادهاى دیگر فراهم مى­کنند. مدل مدیریت شبکه ISO (International Organization for Standardization)  کمک بزرگى به استاندارد­سازى شبکه نموده است. مدل مدیریت شبکه ایزو (ISO) ابزار اصلى براى فهم کارکردهاى عمده سیستم­هاى مدیریت شبکه است. این مدل از 5 بخش تشکیل شده است که در زیر مى آید.

مدیریت اجرا، هدف « مدیریت اجرا » سنجش و فراهم ساختن جنبه­هاى گوناگون عملکرد شبکه است تا اجراى شبکه گسترده بتواند در سطح قابل قبولى نگه­داشته شود. مثال­هایى از متغیرهاى اجرایى که مى­تواند فراهم شود شامل موارد زیر است: توان عملیاتى شبکه، زمان پاسخ کاربر، میزان استفاده از خط. مدیریت اجرا شامل سه گام اصلى است: اول، داده اجرایى در متغیرهاى مورد نظر مدیران شبکه، جمع­آورى می­شود. دوم، داده جهت تعیین سطوح زمان تحلیل مى­شود. نهایتاً، آستانه اجراى مناسب براى هر متغیر مهم تعیین مى­شود تا تجاوز از این آستانه­ها، باعث توجه به یک مسئله شبکه­اى شود. نهادهاى مدیریت، مداوماً متغیرهاى اجرا را مانیتور مى­کنند. وقتى یک آستانه اجرا از حد خود تجاور نمود، یک هشدار تولید شده و براى سیستم فرستاده مى­شود. هر کدام از این گام­ها که تشریح شد، بخشى از پروسه راه­اندازى یک سیستم واکنشى است. وقتى اجرا به علت تجاوز یک آستانه تعریف شده توسط کاربر، غیر­قابل­ قبول مى­شود، سیستم با فرستادن یک پیغام، عکس العمل نشان مى­دهد. همچنین مدیریت اجرا اجازه شیوه هاى کنش­گر را می­دهد. به­عنوان مثال، شبیه­سازى شبکه مى­تواند براى طرح­ریزى چگونگى تاثیر رشد شبکه بر روى استانداردهاى اجرا مورد استفاده قرار گیرد. چنین شبیه­سازى مى­تواند به مدیران براى محتمل بودن مشکلات هشدار دهد تا اعمال خنثى­کننده مد نظر قرار گیرد.

 مدیریت پیکر بندى، هدف « مدیریت پیکربندى » نظارت بر اطلاعات پیکربندى شبکه و سیستم است تا بتوان اثرات نسخه­هاى گوناگون عناصر سخت­افزارى و نرم­افزارى بر روى عملکرد شبکه را مدیریت و پیگیرى کرد. هر دستگاه شبکه شرح اطلاعاتى متنوعى دارد که به آن مربوط مى­شود. به­عنوان مثال ممکن است یک مهندسى ایستگاه کارى به­صورت زیر پیکربندى شود. سیستم عامل واسط اترنت، نرم افزار TCP/IP (Transmission Control Protocol/Internet Protocol)، نرم افزار Netware، نرم افزار NFS (Network File System)، کنترل­گرهاى ارتباطى موازى، نرم افزار X.25  و نرم افزار SNMP که در سیستم هاى مدیریت پیکربندى جهت دسترسى راحت مورد استفاده قرار می­گیرد. این اطلاعات را در بانک اطلاعاتى ذخیره مى­کنند، هنگامى که مشکل رخ می­دهد این بانک اطلاعاتى مى تواند بعنوان راهنما مورد جستجو قرار گیرد که ممکن است به حل مسئله کمک کند.

 مدیریت حسابگرى، هدف « مدیریت حسابگرى » اندازه­گیرى پارامترهاى استفاده از شبکه است تا بتوان عملکردهاى فردى یا گروهى را در شبکه بطور مناسب تنظیم کرد. چنین تنظیمى مشکلات شبکه را حداقل مى سازد (زیرا منابع شبکه مى­توانند بر مبناى ظرفیت منابع تخصیص داده شوند) و توازن را در دسترسى شبکه در بین همه کاربران حداکثر مى­کند. در مدیریت اجرا، نخستین گام به­­سوى مدیریت حساب مناسب، اندازه­گیرى میزان استفاده یا کارکرد همه منابع مهم شبکه است. تحلیل نتایج، بینش نسبت به الگوهاى مصرف کنونى و سهم مصرف که در یک نقطه مى­تواند کار گذاشته شود را فراهم مى­کند. البته بعضى اصلاحات براى رسیدن به دسترسى بهینه نیاز خواهد شد. از این نقطه، اندازه­گیرى مداوم مصرف منابع مى­تواند اطلاعات حساب­ها را نتیجه دهد که به­عنوان اطلاعى براى تعیین کارکرد مداوم و بهینة منبع مورد استفاده قرار مى­گیرد.

 مدیریت خطا، هدف « مدیریت خطا » تشخیص گزارش­دهى، اعلام به کاربر و (تا حد امکان) رفع مشکلات شبکه براى حفظ اجراى موثر شبکه است. چون خطاها مى­توانند موجب از کارافتادن یا افت غیر قابل قبول شبکه شوند، مدیریت خطا بیش از همه بطور وسیع در عناصر مدیریت شبکه ایزو (ISO) پیاده­سازى شده است. مدیریت خطا ابتدا شامل تعیین نشانه­ها و اثرات مشکل و سپس جدا کردن آن مى­باشد، سپس مشکل حل­شده و راه­حل براى تمامى زیر سیستم­هاى مهم آزمایش مى­شود، نهایتاً تشخیص و تحلیل مشکل ثبت مى­شود.

 مدیریت امنیت هدف، « مدیریت امنیت » کنترل دستیابى به منابع شبکه بر طبق راهنماهاى محلى است تا در شبکه (بطور عمدى یا غیر عمدى) خرابکارى صورت نگیرد و اطلاعات حساس بدون داشتن مجوز مناسب مورد دسترسى قرار نگیرد. به­عنوان مثال یک زیر سیستم امنیت مى­تواند به دسترسى کاربران به یک منبع شبکه نظارت کند یا دسترسى شخص با کد نامناسب را نپذیرد. زیر سیستم­هاى امنیت با بخش­بندى منابع شبکه به ناحیه­هاى مجاز و غیر مجاز کار مى­کنند. براى بعضى از کاربران، دسترسى به هر منبع شبکه­اى بی­مورد است چون بیشتر چنین کاربرانى معمولاً خارج از شرکت هستند. براى بقیه کاربران شبکه (کاربران داخلى)، دستیابى به اطلاعات تولید شده بوسیلة یک دپارتمان خاص مناسب نیست. به­عنوان مثال دستیابى به فایل­هاى منابع انسانى براى اکثر کاربران خارج از دپارتمان منابع انسانى، مناسب نیست. زیر سیستم­هاى امنیت چندین عمل را انجام مى­دهند. این زیرسیستم ها منابع حساس شبکه (از قبیل سیستم ، فایل و دیگر موجودیت­ها) را شناسایى نموده و نگاشت بین منابع حساس شبکه و تنظیمات کاربرى را تعیین مى­کنند همچنین نقاط دسترسى به منابع حساس شبکه را مانیتور کرده و دسترسى نامناسب به منابع حساس شبکه را گزارش مى­دهند.

با توجه به اینکه در محیط رایانش ابری، شبکه به عنوان بستر اصلی انجام فعالیت و ارسال پیام و برآورده ساختن نیازهای مشتری جایگاه بسیار مهمی دارد از این­ رو کنترل و مدیریت بستر یک شبکه محیط رایانش ابری، بخش اصلی و مهم در کیفیت سرویس آن محیط رایانش ابری می­باشد. بنابراین کلیه مطالب گفته شده در بالا شاید با ضریب تاثیر بیشتری در شبکه­های محیط­های رایانش ابری مورد کاربرد و توجه مدیران محیط می­باشد.

1-1-5 امنیت شبکه

امنيت، مبحثي كاملا پيچيده ولي با اصولي ساده است. در بسياري از مواقع همين سادگي اصول هستند كه ما را دچار گمراهي مي­كنند و دورنماي فعاليت­هاي ما را از لحاظ سهولت و اطمينان در سايه­اي از ابهام فرو مي­برند. بايد گفت كه امنيت يك پردازش چند لايه است. تعيين نوع و نحوه تلقين لايه­هاي دفاعي مورد نياز‌، فقط پس از تكميل ارزيابي قابل ارائه است. تهيه ليستي از سياست­هاي اجرايي بر مبناي اينكه چه چيزي براي سازمان مهم­تر و انجام آن ساده­تر است در اولويت قرار دارد. پس از آنكه اين اولويت­ها به تاييد رسيدند هريك از آنها بايد به سرعت در جاي خود به اجرا گذارده شود. ارزيابي امنيتي يك بخش بسيار مهم­تر از برنامه­ريزي امنيتي است. بدون ارزيابي از مخاطرات،‌ هيچ طرح اجرايي در جاي خود به درستي قرار نمي­گيرد. ارزيابي امنيتي خطوط اصلي را براي پياده­سازي طرح امنيتي كه به منظور حفاظت از دارايي­ها در مقابل تهديدات است را مشخص مي­كند. براي اصلاح امنيت يك سيستم و محقق كردن شرايط ايمن، مي­بايست به سه سوال اصلي پاسخ داد:

  • چه منابع و دارايي­هايي در سازمان احتياج به حفاظت دارند؟
  • چه تهديداتي براي هر يك از اين منابع وجود دارد؟
  • سازمان چه مقدار تلاش،وقت و سرمايه مي­بايست صرف كند تا خود را در مقابل اين تهديدات محافظت كند؟

اگر شما نمي­دانيد عليه چه چيزي مي­خواهيد از دارايي­هاي خود محافظت كنيد موفق به انجام اين كار نمي شويد. رايانه ها محتاج آن هستند كه در مقابل خطرات از آنها حفاظت شود ولي اين خطرات كدامند؟ به عبارت ساده تر خطر زماني قابل درك است كه يك تهديد، از نقاط ضعف موجود براي آسيب زدن به سيستم استفاده كند. لذا، پس از آنكه خطرات شناخته شدند، مي­توان طرح­ها و روش­هايي را براي مقابله با تهديدات و كاهش ميزان آسيب­پذيري آنها ايجاد كرد. اصولا شركت­ها و سازمان­ها ، پويا و در حال تغيير هستند و لذا طرح امنيتي به طور مدام بايد به روز شود. به علاوه هر زمان كه تغييرات عمده اي در ساختار و يا عملكردها به وجود آمد، مي بايست ارزيابي مجددي صورت گيرد. بنابراين حتي زماني كه يك سازمان به ساختمان جديدي نقل مكان مي كند، كليه دستگاه­هاي جديد و هرآنچه كه تحت تغييرات اساسي قرار مي­گيرد، مجددا بايد مورد ارزيابي قرار گيرد. ارزيابي­ها حداقل مي­بايست شامل رويه­هايي براي موارد زير باشند:

  • رمزهاي عبور
  • مديريت اصلاحيه­ها
  • آموزش كاركنان و نحوه اجراي برنامه­ها
  • نحوه تهيه فايل­هاي پشتيبان و فضاي مورد نياز آن
  • ضد ويروس
  • ديواره آتش
  • شناسايي و جلوگيري از نفوذ گران
  • فيلترينگ­ هاي مختلف براي اينترنت و پست الكترونيكي
  • تنظيمات سيستمي و پيكره ­بندي آن­ها

در حال حاضر اينترنت و پست الكترونيكي جزء عناصر انكارناپذير در كاركرد شركت­ها و سازمان­ها محسوب مي شوند، ولي اين عناصر مفيد به دليل عمومي بودن، داراي مخاطرات بسياري هستند كه موجب هدر رفتن منابع و سرمايه­گذاري­هاي يك سازمان مي­شود. به ويژه آن­كه به سادگي هزينه­هاي پنهان زيادي را مي­توانند به سازمان تحميل كنند و يا كلا كاركرد يك سازمان را با بحران مواجه كنند. اين وضعيت بحران  با يك طرح دفاعي مناسب قابل كنترل است. هدف ما در اين­جا، ارائه يك الگوي دفاعي كامل و منسجم است كه بتواند با توجه به امكانات سازمان، مورد بهره­برداري قرار گيرد. لذا در ابتدا به مخاطراتي كه تهديدكننده سازمان هستند توجه مي كنيم، جنبه­هاي مختلف تهديدات را روشن كرده و آنها را اولويت­بندي كرده و پس از بررسي دقيق آنها در جاي خود، راه­حل مناسبي را طي يك طرح زمان­بندي شده و با بودجه مشخص براي پياده­سازي، ارائه مي­كنيم. در طرح­ريزي الگوهاي امنيتي تناسب بين كاربري و طرح امنيتي بسيار مهم است. همچنين روند تغيير و به روز آوري فناوري امنيتي مي­بايست مطابق با استانداردها و تهديدات جديد پيش­بيني شده باشد. بعضي از سازمان­ها براي تامين امنيت خود اقدام به خريد تجهيزات گراني مي­كنند كه بسيار بيشتر از ظرفيت كاربري آن سازمان است و يا جايگاه صحيح امنيتي تجهيزات، نامشخص است و لذا خريدار همچنان با مشكلات امنيتي بي­شماري دست و پنجه نرم مي كند. يك طرح امنيتي كه بيشتر از ظرفيت يك سازمان تهيه شده باشد باعث اتلاف بودجه مي شود. همچنين طرح امنيتي كه نقص داشته باشد، تاثير كم رنگي در كاركرد سازمان خواهد داشت و فرسايش نيروها، دوباره­كاري­ها و كندي گردش كارها و ساير صدمات همچنان ادامه خواهد داشت. اين امر نهايتا يك بودجه ناپيدا را كماكان تحميل مي­كند و بهبودي حاصل نخواهد آمد.

براي تامين امنيت بر روي يك شبكه، يكي از بحراني ترين و خطيرترين مراحل، تامين امنيت دسترسي و كنترل تجهيزات شبكه است. تجهيزاتي همچون مسيرياب، سوئيچ يا ديوارهاي آتش.

موضوع امنیت تجهیزات به دو علت اهمیت ويژه‌اي مي‌يابد :

  • عدم وجود امنيت تجهيزات در شبكه، به­نفوذگران به شبكه اجازه مي‌دهد كه‌ با دستيابي به تجهيزات، امكان پيكربندي آنها را به گونه‌اي كه تمايل دارند آن سخت‌افزارها عمل كنند، داشته باشند. از اين طريق هرگونه نفوذ و سرقت اطلاعات و يا هر نوع صدمه ديگري به شبكه، توسط نفوذگر، امكان‌پذير خواهد شد.
  • برای جلوگیری از خطرهای محروم­سازی از سرویس[2] تأمین امنیت تجهیزات بر روي شبکه الزامي است. توسط این حمله ها نفوذگران مي‌توانند سرويس‌هايي را در شبکه از كار بیاندازند.

1-1-6 حملات محروم­ سازی از سرویس[3]

در بحث امنیت شبکه، مقابله و خنثی­سازی این نوع از حملات از ارزش و اهمیت بسیار بالایی برخوردار است. از آنجاییکه روش ارائه شده در این پایان­نامه برای مقابله با این نوع حملات می­باشد این بخش را به توضیح و تعریف این حملات اختصاص داده­ایم.

حمله محروم­سازی یا انکار سرویس، تلاش برای خارج­کردن ماشین و منابع شبکه از دسترس کاربران مجازش می­باشد. اگرچه منظور از حمله DOS و انگیزه انجام آن ممکن است متفاوت باشد، اما به طور کلی شامل تلاش برای قطع موقت یا دائمی و یا تعلیق خدمات یک میزبان متصل به اینترنت است. عاملین حمله DOS معمولاً سایت­ها یا خدمات میزبانی وب سرور یا محیط­های رایانش ابری با ویژگی­های مناسب مانند بانک­ها، کارت­های اعتباری و حتی سرورهای ریشه را هدف قرار می­دهند. یکی از روش­های معمول حمله شامل اشباع ماشین­های هدف با درخواست­های ارتباط خارجی است به طوری که نمی‌تواند به ترافیک قانونی پاسخ دهد یا پاسخ ها با سرعت کم داده شوند و یا در دسترس نباشد. چنین حملاتی منجر به سربار زیاد سرور می شوند. حمله DOS کامپیوتر هدف را وادار به ریست شدن یا مصرف منابع­اش می­کند، بنابراین نمی‌تواند به سرویس­های مورد نظرش سرویس بدهد و همچنین سیاست­های مورد قبول فراهم­کنندگان سرویس­های اینترنتی را نقض می کنند.

علائم حملات انکار سرویس این گونه تعریف می شود:

  • کارآیی کند وغیرمعمول شبکه
  • در دسترس نبودن یک وب­سایت خاص
  • افزایش چشمگیر در تعداد هرزنامه­های دریافتی
  • قطع اتصال به اینترنت

حملات انکار سرویس می­توانند منجر به مشکلاتی در  شبکه کامپیوتر مورد حمله باشند که منجر به خطر افتادن کامپیوتر مورد نظر و کل شبکه یا کامپیوترهای دیگر در LAN می­شود. اگر حمله در یک مقیاس بزرگ اتفاق افتاده باشد تمام نواحی جغرافیایی اتصالات اینترنت به دلیل پیکربندی نادرست یا سست بودن تجهیزات زیرساختی شبکه به خطر می افتد. (Mirkovic, 2004)

همانطور که مشخص است اگر چنین حمله­ای به شبکه یک محیط رایانش ابری صورت گیرد و موفق به از کار انداختن شبکه محیط شود، باعث از کار افتادن و از دست رفتن کلیه درخواست­های مشتریان می­شود و ممکن است باعث بروز صدمات جبران ناپذیری گردد.

روش ­های حمله

حمله انکار سرویس، تلاش صریح مهاجمان در جلوگیری از دسترسی کاربران مجاز به سرویس­های مشخص می باشد. دو شکل کلی برای حملات  DOSوجود دارد: آن­هایی که سرویس­ها را مختل (crash) می­کنند و آن­هایی که سرویس­ها را با بسته های سیل­آسا غرق می­کنند. حمله DOS به چندین روش انجام می­شود، پنج نوع اصلی این حمله عبارتند از:

  • مصرف منابع محاسباتی مانند: پهنای ­باند، حافظه، فضای دیسک و زمان پردازش
  • ایجاد تداخل در اطلاعات پیکربندی مثل: اطلاعات مسیریابی
  • ایجاد تداخل در اطلاعات وضعیت مثل ریست شدن ناخواسته نشست­های TCP
  • ایجاد تداخل در تجهیزات فیزیکی شبکه
  • مانع ارتباطی بین کاربران مجاز و قربانی تا نتوانند به ارتباط ادامه دهند.

DOS  ممکن است شامل اجرای نرم‌افزارهای مخرب باشد:

  • حداکثر شدن استفاده از پردازنده از انجام هر کاری جلوگیری می­کند
  • خطاهای محرک در میکروکدهای ماشین
  • خطاهای محرک در توالی دستورالعمل­ها، به طوری که کامپیوتر را وادار به یک حالت ناپایدار و یا قفل کردن می­کند
  • بهره­برداری از خطاهای موجود در سیستم عامل

در بیشتر موارد حمله DOS با جعل آی پی آدرس فرستنده (آی پی آدرس جعلی) انجام می­شود، به طوری که تعیین ماشین حمله کننده قابل شناسایی نیست.

جریان سیل آسای ICMP[4]

حمله اسمورف(smurf)   یکی از انواع حملات DOS سیل آسا روی اینترنت است. این نوع حمله به پیکربندی نامناسب تجهیزات شبکه که اجازه ارسال بسته­ها به همه کامپیوترهای میزبان روی یک شبکه خاص با آدرس های همه پخشی را می­دهد، متکی است. در چنین حمله­ای مهاجمان با یک آی پی جعلی یک تقاضای چک کردن (ping) به یک یا چندین سرور همه پخشی ارسال کرده و آدرس آی پی ماشین هدف (قربانی) را ست می­کنند .سرور همه پخشی این تقاضا را برای تمام شبکه ارسال می­کند. تمام ماشین­های شبکه پاسخ را به سرور، ارسال همه پخشی می­کنند. سرور همه پخشی پاسخ­های دریافتی را به ماشین هدف هدایت یا ارسال می کند. بدین صورت زمانی که ماشین حمله کننده تقاضائی را به چندین سرور روی شبکه­های متفاوت همه پخشی می­نماید، مجموعه پاسخ­های تمامی کامپیوترهای شبکه­های گوناگون به ماشین هدف ارسال می­گردند و آن را از کار می­اندازند. بنابراین پهنای باند شبکه به سرعت استفاده می­شود و از انتقال بسته­های مجاز به مقصدشان جلوگیری به عمل خواهد آمد. برای مبارزه با حمله انکار سرویس در اینترنت سرویس­هایی مانند Smurf Amplifier Registry  توانایی تشخیص پیکربندی­های نامناسب شبکه وانجام عملیات مناسب مثل فیلترینگ را می دهند.

بسته­های سیل­آسای Ping ، بسته­های Ping زیادی را به سمت قربانی ارسال می­کنند. به ارسال­هایی از بسته های ping با فرمت و شکل نامناسب یه سمت قربانی گفته می­شودکه باعث crash شدن سیستم عامل می گردد.

جریان سیل آسای SYN[5]

سین فلود(Syn Flood)  زمانی اتفاق می­افتد که میزبانی از بسته­های سیل­آسای TCP/SYN استفاده کند که آدرس فرستنده آنها جعلی است. هر کدام از این بسته ها همانند یک درخواست اتصال بوده و باعث می­شود سرور درگیر اتصالات متعدد نیمه باز بماند، ولی چون آدرس فرستنده جعلی است هیچ پاسخی برگردانده نمی‌شود. این اتصالات نیمه باز تعداد اتصالات در دسترس سرور را اشباع می­کنند و آن را از پاسخگویی به درخواست­های مجاز تا پایان حمله باز می­دارند. بنابراین منابع سرور به اتصال­های نیمه باز اختصاص خواهد یافت و امکان پاسخ گویی به درخواست­ها از سرور منع می‌شود.

 

حمله Teardrop

این حمله شامل ارسال بسته­های آی پی است که با هم تداخل دارند یا بسته­هایی با سایز بزرگ و یا بسته­هایی با ترتیب نامناسب می­باشند. این حمله می­تواند سیستم عامل­های مختلف را به علت اشکالی که در کد بازسازی مجدد بخش های TCP/IP دارند crash کند Windows 3.1x وWindows 95  وسیستم عامل Windows  NT  و نسخه های 2.0.32 و 2.1.63 در برابر این حمله آسیب­پذیر هستند.

حمله نظیر به نظیر

مهاجمان به دنبال راهی برای یافتن اشکال در سرورهای نظیر به نظیر هستند تا حمله DOS را شروع کنند. حملات نظیر به نظیر متفاوت از حملات مبتنی بر بات­نت­ها هستند. در حملات نظیر به نظیر، بات­نت یا مهاجمی برای برقراری ارتباط با کلاینت وجود ندارد به جای آن مهاجم به عنوان دست نشانده­ای از ارباب، به کلاینت­های موجود در مراکز به اشتراک­گذاری فایل­ها طوری آموزش می­دهد که شبکه نظیر به نظیر خود را قطع کرده و به جای آن به وب­سایت قربانی متصل شوند. در نتیجه چندین هزار کامپیوتر به صورت تهاجمی به وب­سایت قربانی وصل می شوند. در حالی که وب سرور قبل از این که کارایی­اش تنزل پیدا کند قادر به کنترل و مدیریت صدها اتصال در ثانیه بوده است بلافاصله بعد از 5 یا 6 هزار اتصال در ثانیه شکست می­خورد.

در این پایان­نامه سعی داریم تا چالشی را در زمینه تامین امنیت شبکه در محیط­های رایانش ابری مورد توجه قرار دهیم و الگوریتمی برای حل بهتر آن ارائه دهیم. همانطور که در بالا نیز اشاره شد، اطلاعات و آمار جریان­های شبکه­ای در داخل یک شبکه، برای مدیران و ناظران آن شبکه و محیط رایانش ابری مربوطه بسیار حیاتی و مفید می­باشد. از میان جریان­های شبکه­ای متفاوت، جریان­های شبکه­ای حجیم از اهمیت بسیار بالایی برخوردارند. در این پایان­نامه ابتدا کلیات تحقیق را به صورت خلاصه بررسی می­کنیم و پس از آن در فصل دوم به مرور ادبیات و مبانی نظری شناسایی جریان­های حجیم می­پردازیم. در فصل سوم روش و روش­­شناسی تحقیق را ارائه خواهیم کرد و در فصل چهارم راه­حل خود را به همراه نتایج به طور کامل شرح خواهیم داد و در فصل پنجم که فصل پایانی خواهد بود به نوآوری، توصیه­ها و پیشنهادها می­پردازیم.

1-2 تعریف مساله، هدف و ضرورت اجرای طرح

همانطور که در محیط­های شبکه­ای معمول همواره تهدید­ها و ریسک­های متفاوت و خطرناکی از جانب کاربران و مشتریان وجود دارد، در سیستم­های مبتنی بر رایانش ابری نیز به دلیل ماهیت شبکه­ای این محیط­ها این تهدیدها و ریسک­ها وجود دارند. بنابراین یک مدیر ارشد در یک محیط رایانش ابری می­بایست تمام این تهدیدها و ریسک­ها را شناخته و برای هرکدام راه مقابله قابل اطمینان و معتبری را در نظر بگیرد. یکی از این تهدید­ها و ریسک­ها که در شبکه­های معمول نیز رایج است، حملات انکار سرویس می­باشند که در بالا به طور مفصل شرح داده شد.

حملات انکار سرویس، تلاش برای خارج کردن ماشین و منابع شبکه از دسترس کاربران مجازش می­ باشد. به طور کلی این حملات شامل تلاش برای قطع موقت یا دائمی و یا تعلیق خدمات یک میزبان متصل به اینترنت می­باشد. یکی از شیوه­ های رایج برای اعمال این نوع حملات فرستادن سیل­ آسای جریان درخواست­ ها به سمت میزبان می ­باشد. این جریان ­های سیل­ آسا را جریان­ های حجیم یا جریان­ های فیل[6] می­نامند. (Kuzmanovic, 2003)

از این­رو در این تحقیق سعی بر آن داریم تا الگوریتمی احتمالاتی را برای شناسایی جریان­های حجیم و در نتیجه راه­حلی برای مقابله با حملات انکار سرویس در محیط رایانش ابری ارائه کنیم. علت ارائه الگوریتمی احتمالاتی برای شناسایی جریان­های حجیم در ترافیک ورودی به سمت محیط رایانش ابری این می­باشد که از آنجاییکه ترافیک ورودی به سمت محیط­های رایانش ابری به دلیل وجود درخواست­های مکرر کاربران برای استفاده از سرویس بسیار سنگین و حجیم می­باشد (Zhang, 2010) ، امکان شناسایی و شمارش بسته­ها[7] به صورت برخط با الگوریتمی قطعی وجود ندارد. در صورت استفاده از الگوریتم قطعی مرتبه زمانی الگوریتم به شدت بالا رفته و عملا برای ترافیک­های حجیم کاربردی نخواهد داشت. (Mori, 2004) از این رو در این تحقیق سعی بر آن داریم تا الگوریتمی احتمالاتی با دقت کافی و مناسب را برای شناسایی جریان­های حجیم در محیط­های رایانش ابری در بستر زیرساخت ارائه دهیم. با شناسایی جریان­های حجیم، مبدا و مقصد این جریان­ها قابل شناسایی بوده و بنابراین راه مقابله با آن­ها بسیار آسان می­باشد. به­ هر حال در این تحقیق تمرکز اصلی بر روی شناسایی جریان­های حجیم می­باشد.

برای این منظور از ساختمان داده بلوم فیلتر[8] (Bloom, 1970) که ساختمان داده­ای بسیار سریع و احتمالاتی است، استفاده می­کنیم. به این­صورت که به ازای هر بسته­ای که می­رسد، آی پی[9] هدر[10] آن بسته را گرفته و آن را در بلوم فیلتر درج می­کنیم. به ازای هر خانه بلوم فیلتر یک شمارنده در نظر می­گیریم، و هر بار که IP بسته­ای به آن خانه نگاشت پیدا کرد مقدار شمارنده یک واحد افزایش پیدا می­کند، و زمانیکه این شمارنده به یک حد یا مرز[11] رسید آن جریان به عنوان یک جریان حجیم در نظر گرفته می­شود. حال اینکه طول فیلتر و توابع درهم­سازی چگونه تعریف شود که کارایی الگوریتم به حداکثر برسد، و چگونه این کارایی اثبات و ارائه گردد به طور کامل در نسخه نهایی این تحقیق ارائه خواهد شد.

[1] Traffic flow

[2] Denial of Service (DoS)

[3] Denial of Service (DoS)

[4] Internet Control Message Protocol

[5] Synchronous

[6] Elephants

[7] Packets

[8] Bloom Filter

[9] IP ( Internet Protocol)

[10] Header

[11] Threshold

 

خدمات ادیب مشاور در زمینه رشته مهندسی کامپیوتر

ارائه موضوع پایان نامه مهندسی کامپیوتر

تدوین مقاله در رشته مهندسی کامپیوتر

مشاوره در تدوین پروپوزال مهندسی کامپیوتر

مشاوره و آموزش در پایان نامه مهندسی کامپیوتر

انجام شبیه سازی در رشته مهندسی کامپیوتر

استخراج مقاله در  رشته مهندسی کامپیوتر

استفاده از نرم افزارهای تخصصی همچون نرم افزار R، نرم افزار STATA، نرم افزار MATLAB، نرم افزار Vensim، نرم افزار LINGO، نرم افزار NS2

 

مشاوره تخصصی انجام پایان نامه ارشد

یکی از مهمترین وظایف دانشجویان در مقاطع تحصیلات تکمیلی (کارشناسی ارشد و دکتری) انجام پایان نامه می باشد. فقر اساتید خبره در زمینه های مختلف علمی تحقیقاتی در برخی دانشگاه های داخلی و خارجی موجب سردرگمی دانشجویان عزیز گردیده است، موسسه ادیب مشاور مفتخر است که در پاسخ به این نیاز طی ده سال فعالیت به تعداد بیشماری از دانشجویان ارشد و دکتری خدمات مشاوره تخصصی ارايه داده است.

به طور کلی انجام پایان نامه کاری زمان بر است که دانش و تجربه زیادی نیازمند است. موسسه ادیب مشاور با چندین سال تجربه در عرصه مشاوره و با در اختیار داشتن متخصصین و اساتیدی با تجربه آماده مشاوره و آموزش پایان نامه در کلیه رشته های دانشگاهی می باشد.

علاوه بر این موسسه ادیب مشاور،