تجزیه و تحلیل ترافیک شبکه - مرکز تخصصی آپا دانشگاه قم (CSIRT)

تجزیه و تحلیل ترافیک فرایندی است که از طریق آن بسته های شبکه به منظور عملکرد، امنیت و عملیات کلی شبکه مورد بررسی قرار میگیرند. با بررسی، ضبط و تجزیه و تحلیل جریان اطلاعات بین دو میزبان، کارشناسان شبکه قادر به ارائه ی یک الگوی رفتاری پایه ای هستند. هنگامی که آنها با الگوهای رفتاری شبکه آشنایی داشته باشند، میتوانند به راحتی ناهنجاری هایی مانند افزایش قابل توجهی در استفاده از پهنای باند، توزیعی از حملات انکار سرویس (DDoS) و سایر موارد غیرمجاز را درک کنند.

مزیت‌های تحلیل ترافیک:
1) کشف سریع‌تر تهدیدات و کاهش زمان بین نفوذ و اقدامات از بین برنده‌ی آن‌ها
هنگام نفوذ هکرها به یک شبکه، اقدامات پیشگیرانه برای دفاع از اطلاعات به تنهایی کافی نیست، تنها راه برای به حداقل رساندن آسیب و جلوگیری از نشت اطلاعات، تشخیص تهدیدات اینترنتی درون سیستم است. تجزیه و تحلیل ترافیک شبکه اقدامات هکرها را به هنگامی که آن‌ها به یک شبکه نفوذ کرده باشند و سعی در دزدیدن اطلاعات شبکه داشته باشند، شناسایی می‌کند و کمک می‌کند تا تهدیدات سریع‌تر کشف شوند و درنتیجه زمان بین نفوذ و اقدامات از بین برنده‌ی آن‌ها کاهش یابد.
2) یافتن دامنه‌های مشکوک و ترسیمی از الگوی رفتاری ترافیک آن‌ها
یک مطالعه‌ی جدید نشان می‌دهد با تجزیه و تحلیل ترافیک شبکه و یافتن دامنه‌های مشکوک، مدیران شبکه می‌توانند آلودگی بدافزارها را شناسایی کنند که سبب کشف الگوهای رفتاری نمونه‌های مخرب می‌شود. این امر حاکی از این واقعیت است که مهاجمان مخرب نیاز به برقراری ارتباط با واحد فرمان و کنترل کامپیوتر خود دارند، بنابراین ترافیک شبکه‌ای را ایجاد می‌کنند که به واسطه‌ی آن می‌توانند شناسایی و تجزیه و تحلیل شوند. کارشناسان بر این باور هستند که داشتن یک هشدار قبلی از گسترش آلودگی‌های بدافزار، سبب پاسخ‌های سریع‌تر می‌شود و این امر به طور بالقوه تأثیر حملات را کاهش می‌دهد .

3) شناسایی اولین سیگنال‌ها از وجود بدافزارهای جدید قبل از اینکه نمونه‌های مخرب به‌طور واقعی کشف شوند

با بررسی ترافیک شبکه‌های مرتبط با بدافزار، ارائه‌دهندگان خدمات اینترنت (ISP) پیش از تشخیص بدافزار توانستند مشخص کنند که سیگنال‌های مخرب از ماه‌ها قبل از پیدایش نرم‌افزارهای مخرب جدید، وجود داشته‌اند. با جمع‌آوری داده‌های این سیگنال‌ها و کشف ارتباط بین آن‌ها می‌توان نمونه‌های مخرب را پیش از آن که به‌طور واقعی کشف شوند، شناسایی کرد. بر اساس یافته‌ها، زمانی که نرم‌افزار مخربی کشف می‌شود، ارتباطات شبکه‌ای و نام‌های دامنه‌ی مورد استفاده توسط این بدافزار از ماه‌ها قبل فعال بودند و زمانی که کشف می‌شوند زمان بسیار دیری است.

طبقه‌بندی ترافیک شبکه:

طبقه‌بندی ترافیک شبکه اولین گام جهت تجزیه و تحلیل و شناسایی انواع مختلف برنامه‌های درحال اجرا در یک شبکه است. از طریق این روش، ارائه‌دهندگان خدمات اینترنت یا اپراتورهای شبکه می‌توانند عملکرد کلی شبکه را مدیریت کنند. روش‌های متعددی برای طبقه‌بندی ترافیک اینترنت مانند روش‌های مبتنی بر پورت، روش‌های مبتنی بر payload و روش‌های مبتنی بر یادگیری ماشین است. روش‌های مبتنی بر پورت، پیاده‌سازی ساده و نسبتاً سریعی دارند ولی….

برای مطالعه ادامه مقاله می توانید آن را از لینک زیر دانلود کنید: