فهرست مطالب

منادی امنیت فضای تولید و تبادل اطلاعات (افتا) - سال سوم شماره 2 (پیاپی 5، بهار و تابستان 1393)

نشریه منادی امنیت فضای تولید و تبادل اطلاعات (افتا)
سال سوم شماره 2 (پیاپی 5، بهار و تابستان 1393)

  • تاریخ انتشار: 1393/06/15
  • تعداد عناوین: 6
|
  • انتخاب رله در شبکه های وسیله به وسیله جهت بهبود امنیت ارسال اطلاعات
    سونیا نادری، محمدرضا جوان صفحات 3-14
    شبکه های وسیله به وسیله به عنوان شبکه ای که در آن دو کاربر به صورت مستقیم و بدون استفاده از ایستگاه پایه ارسال اطلاعات می کنند توجه زیادی را به خود جلب کرده است. به دلیل ماهیت پخشی شبکه های بی سیم، برقراری امنیت در این شبکه ها چالش برانگیز است. از طرفی به دلیل فواصل زیاد فرستنده و گیرنده و وجود تداخل بین شبکه های سلولی و وسیله به وسیله امکان قطع ارتباطات در شبکه وجود دارد. در این مقاله یک شبکه وسیله به وسیله در حضور شبکه سلولی و یک شنودگر فعال را درنظر می گیریم و به منظور کاهش قطع ارتباطات وسیله به وسیله، از چندین رله استفاده می کنیم. همچنین، طرح انتخاب رله بهینه را پیشنهاد می کنیم که بر اساس آن رله ای با بیشترین ظرفیت امنیتی در گیرنده وسیله به وسیله انتخاب و احتمالات قطع ارتباط سیستم بررسی می شود. نتایج شبیه سازی بیانگر کارایی طرح مشارکتی پیشنهادی و بهبود عملکرد قطع ارتباطات شبکه نسبت به حالت غیرمشارکتی است
    کلیدواژگان: شبکه های وسیله به وسیله، امنیت لایه فیزیکی، رله دیکد و ارسال، انتخاب رله، احتمال قطع
    چکیده مشاهده متن زبان: فارسی
  • وارسی استحکام سامانه های اعتماد
    بهروز ترک لادانی، امیر جلالی بیدگلی صفحات 15-34
    اعتماد و شهرت، مفاهیمی شناخته شده در علوم اجتماعی هستند که امروزه در قالب سامانه های اعتماد، کاربردهای روزافزونی در علوم رایانه و ارتباطات پیدا کرده اند. این سامانه ها با ارائه مدلی محاسباتی و بر پایه مجموعه ای از تجربیات و توصیه ها، مقادیر اعتماد (یا شهرت که نوع خاصی از اعتماد است) را محاسبه می کنند. این مقادیر به موجودیت ها در شناسایی و سپس منزوی ساختن موجودیت های غیردرست کار جامعه یاری می رساند. انتظار بر آن است که مقادیر اعتماد، میزان درست کاری هر موجودیت را نمایش دهد که درنتیجه یک موجودیت با اعتماد پایین با احتمال بالایی یک موجودیت بدخواه یا خودخواه خواهد بود. از سامانه های اعتماد به عنوان مهم ترین ابزار در نسل جدید روش های امنیتی به نام امنیت نرم نام برده اند. باوجود کاربرد های گسترده، این سامانه ها در مقابل برخی حملات آسیب پذیر هستند. این حملات دنباله ای از رفتار های گمراه کننده و ریاکارانه توسط موجودیت های بدخواه هستند که قادر به فریب مدل محاسبه اعتماد و درنتیجه افزایش یا کاهش مقادیر اعتماد به نفع حمله کنندگان خواهد بود. یک سامانه اعتماد آسیب پذیر، نه تنها ابزار تصمیم یار مناسبی برای موجودیت ها نیست؛ بلکه ممکن است به ابزاری در دست حمله کنندگان جهت افزایش قدرت حملاتشان تبدیل شود، از این رو لازم است پیش از استفاده از یک سامانه، استحکام آن در برابر حملات ارزیابی گردد. این مقاله به مرور و بررسی حملات اعتماد و روش های موجود در ارزیابی استحکام سامانه های اعتماد در برابر آنها می پردازد. شبیه سازی و وارسی صوری، دو بستر اصلی جهت ارزیابی استحکام سامانه های اعتماد است. شبیه سازی که روش غالب در اکثر پژوهش هاست، روش تخمینی است که در هر بار تنها قادر است چند مسیر اجرا را از سامانه بررسی کند. در مقابل در روش های وارسی صوری، کل فضای حالت اجرای مدل جهت بررسی دارا بودن ویژگی های امنیتی مورد نظر پوشش داده می شود؛ از این رو نتایج به دست آمده با این روش ها دقیق و قابل اثبات است. با وجود مزیت های فراوان روش های صوری بر روش های شبیه سازی، پژوهش های مرتبط با وارسی استحکام سامانه های اعتماد هنوز ناقص و در مراحل نخستین پژوهش هستند، هرچند این پژوهش ها در سال های اخیر رشد خوبی داشته اند. در این مقاله این پژوهش ها در کنار روش های مبتنی بر شبیه سازی مرور و معایب و مزایای هر یک بررسی می شود.
    کلیدواژگان: اعتماد، شهرت، سامانه های اعتماد، حمله، استحکام، وارسی، شبیه سازی
    چکیده مشاهده متن زبان: فارسی
  • بهبود معماری امنیت سرویس های اساسی در محاسبات ابری
    محمود دی پیر، رحیم یزدانی صفحات 35-49
    سازمان ها برای امن سازی دارائی های اطلاعاتی شان،بایستی از معماری امنیتی سازمان بهره ببرند. الگوهای امنیتی روش خوبی برای ساختن و تست کردن مکانیزم های جدید امنیتی است. به عنوان مثال الگوی امنیت سازمانی، نمونه ای از معماری مدل محور است که در پی حل مشکلات امنیتی سیستم های اطلاعاتی است. دراین پژوهش کاربردی بارویکرد کیفی و روش تحقیق توصیفی تحلیلی،با مطالعه مبانی نظری ومصاحبه باخبرگان نمونه ای از الگوی امنیت سازمانی مدل محور در قالب Software as a Service امن ، تبیین می شود تا سازمان ها موقع برون سپاری برای حفاظت از دارائی اطلاعاتی شان مورد بهره برداری قرار دهند. همچنین یکی از کاربردهای رایانش ابری، استفاده موثر ازمنابع محاسباتی است ولی مباحث امنیتی مرتبط با آنها مانعی برای سازمان ها و افراد است. در این پژوهش به بررسی مشکلات امنیتی ابرهایی که سکو را به عنوان خدمت عرضه می کنند نیز پرداخته می شود. این مشکلات که در زمینه کنترل دسترسی،حریم خصوصی ، پیوستگی خدمات ،حفاظت توامان از کاربر و ارائه دهنده است، احصاء و طبقه بندی شده و اقدامات متقابل لازم مورد بحث قرار می گیرد.
    کلیدواژگان: الگوی امنیتی سازمانی، محاسبات ابری، معماری امنیت
    چکیده مشاهده متن زبان: فارسی
  • ارائه ی یک روش مبتنی بر ماشین های بردار پشتیبان برای تشخیص نفوذ به شبکه های کامپیوتری
    نرگس صالح پور، محمد نظری فرخی، ابراهیم نظری فرخی صفحات 51-64
    سیستم تشخیص نفوذ یکی از مهم ترین مسائل در تامین امنیت شبکه های کامپیوتری است. سیستم های تشخیص نفوذ در جستجوی رفتار مخرب، انحراف الگوهای طبیعی و کشف حملات به شبکه-های کامپیوتری می باشند. این سیستم ها نوع ترافیک مجاز از ترافیک غیرمجاز را تشخیص می دهند. از آن-جا که امروزه تکنیک های داده کاوی به منظور تشخیص نفوذ در شبکه های کامپیوتری مورد استفاده قرار می گیرند. در این تحقیق نیز، روشی مبتنی بر یادگیری ماشین جهت طراحی یک سیستم تشخیص نفوذ ارائه شده است. یکی از ویژگی های شبکه های عصبی و سیستم های یادگیری ماشین، آموزش بر اساس داده های آموزشی است. در این تحقیق برای تشخیص نفوذ از یادگیری ماشین با خاصیت یادگیری روی ویژگی ها با استفاده از تئوری راف که دارای ضریب همبستگی بیشتری است، به کار گرفته می شود. برای آموزش و ارزیابی روش پیشنهادی از مجموعه داده ی KDD CUP 99 استفاده شده است. بنابراین دقت روش پیشنهادی را با الگوریتم یادگیری بر پایه ی تمام ویژگی ها، شبکه عصبی خودسازمانده و درخت تصمیم گیری مقایسه می کند. نتایج شبیه سازی نشان می دهد، سیستم پیشنهادی مبتنی بر تئوری راف دارای دقت بالا و سرعت تشخیص مناسب است.
    کلیدواژگان: تئوری مجموعه های راف، سیستم های تشخیص نفوذ، ماشین بردار پشتیبان و سیسستم های
    چکیده مشاهده متن زبان: فارسی
  • مروری بر آزمون نفوذ وب
    مهین سادات میرجلیلی، علیرضا نوروزی، میترا علیدوستی صفحات 65-82
    در این مقاله مروری بر آزمون نفوذ و به طور خاص درزمینه ی وب خواهیم داشت. در جهت این امر، ابتدا مقالاتی که به طورکلی به آزمون نفوذ و روش های انجام آن اشاره نموده اند پرداخته شده و سپس مقالات موجود درزمینه ی آزمون نفوذ وب از سه جهت مقایسه ابزار های انجام شده آزمون نفوذ به صورت خودکار، معرفی روش یا ابزار جدیدی برای انجام آزمون نفوذ به صورت دستی و مقالاتی که محیط آزمونی را جهت آموزش و یا امکان بررسی ابزار ها و روش های مختلف ارائه نموده اند، تقسیم بندی نمود. در این مقاله چهار متدلوژی مختلف برای انجام آزمون نفوذ وب، سیزده مقاله درزمینه ی مقایسه ی پویشگر های آسیب پذیری وب، ده مقاله که روش یا ابزار جدیدی برای انجام آزمون نفوذ ارائه داده اند و چهار محیط آزمون، موردبررسی قرارگرفته اند.
    کلیدواژگان: آزمون نفوذ، آسیب پذیری های تحت وب، پویشگر
    چکیده مشاهده متن زبان: فارسی
  • مروری بر پروتکل های مبتنی بر مسئله LPN در سامانه های RFID
    نصور باقری، رضا آقامحمدی صفحات 83-98
    سامانهRFID با استفاده از ارتباطات مبتنی بر فرکانس های رادیویی امکان شناسایی خودکار ، ردیابی و مدیریت اشیاء، انسان و حیوان را فراهم می نماید . عملکرد RFID وابسته به دو دستگاه برچسب و باز خوان است که جهت برقراری ارتباط بین یکدیگر از امواج رادیویی استفاده می نمایند. برای برقراری ارتباط امن بین برچسب و باز خوان از پروتکل های رمز نگاری استفاده می شود. مبنای اساسی برای امنیت یک پروتکل رمزنگاری بر اساس پیچیدگی محاسباتی مساله است. به طور واضح تر یک پروتکل رمز نگاری زمانی امن گفته می شود که شکستن امنیت ، به طور محاسباتی معادل حل یک مساله خیلی سخت باشد . در این مقاله، در مورد مزایای استفاده از طراحی پروتکل های رمزنگاری برای برچسب های RFID بر اساس مساله سخت غیر متعارف LPN بحث می کنیم.
    کلیدواژگان: احراز هویت، رمز نگاری سبک وزن، LPN، Authentication، RFID، HB
    چکیده مشاهده متن زبان: فارسی
|
  • Relay Selection for Secure Device to Device Communications
    Sonia Naderi, Doctor Mohammadreza Javan Pages 3-14
    In this paper, a cooperative scheme for secure device to device (D2D) communications underlaying cellular networks is proposed. In our scheme, the cellular base station (BS) wants to transmit its information to a cellular user (CU). Meanwhile, two devices want to communicate directly using the same spectrum used by cellular network with the help of some decode-and-forward (DF) relay nodes. In addition, there exists a malicious user which wants to eavesdrop on information transmission of D2D pair. The transmit power of the transmitter of the D2D pair (TD2D) and the relays is limited such that the outage performance of cellular network is satisfied. We study the performance of the proposed scheme, which is measured based on the outage probability, and obtain the closed form expression for the outage probability for the optimal relay selection scheme. Finally, the performance of the proposed scheme is evaluated using simulations.
    Keywords: Device to Device (D2D) communications, physical (PHY) layer security, Decode, forward (DF) relay, Relay Selection, Outage Probability
    Abstract View Paper Original: Persian
  • Robustness Verification of Trust Systems
    B. Tarkladani, A. Jalalibidgoli Pages 15-34
    Trust and reputation are known social concepts which have an important role in human society. Nowadays, these concepts are also employed in computer science as computational trust and reputation systems (TRSs) that are able to compute the trustworthiness rank of entities based on a collection of experiments and recommendations. Since it is expected that a dishonest entity has a lower trust, the trust values can help the entities to detect and isolate the malicious or selfish entities. TRSs have been applied in many modern computer systems, and also are the most important tool in soft security as the next generation of security mechanisms. Despite the importance and applications of these systems, they are vulnerable to some kind of attack in which the attacker deceives the system using a sequence of misleading behavior. These attacks enable the attacker to manipulate the computation of trust values in his favor. A vulnerable system not only can’t help detecting the malicious entities, but also may be used by them to empower their attack. Hence, robustness evaluation is a critical step before using TRSs. Simulation and formal verification are two main approaches for robustness evaluation of TRSs. Despite the wide usage of simulation in evaluation of TRSs, it is an approximation method that can be used to validate the behavior of the system just for some particular computation paths. In contrast, formal verification based methods provide guarantees for the validation of the whole computation paths of the given system, thus not only their results are exact and provable but also may be used to find whole possible attacks against a given system. Considering the advantages of verification based methods, there is a narrow but progressing trend for proposing such methods in recent years. In this paper, both formal and simulation based methods for robustness evaluation of TRSs are reviewed and compared with each other.
    Keywords: Trust, reputation systems, robustness, quantitative verification, malicious attacks
    Abstract View Paper Original: Persian
  • Security Architecture Improving In Cloud Computing Basic Services
    M. Dipir, R. Yazdani Pages 35-49
    Organizations should use from enterprise security architectures to secure their information assets. ýSecurity patterns are a good way to build and test new security mechanisms. Enterprise security pattern ýas an instance of model-driven architecture offers a solution to recurring information systems security ýproblems. In this paper, we present a model-driven enterprise security pattern called Secure SaaS., which ýthe organizations could apply to protect their information assets when using SaaS. On the other hand ýCloud Computing is a approach for the efficient use of computational resources. cloud delivers ýcomputing as a service. However, security concerns prevent many individuals and organizations from ýusing clouds. Second section of this paper focuses on the Security problem of Platform-as-a-Service ýý(PaaS) clouds including access control, privacy and service continuity while protecting both the service ýprovider and the user. Security problems of PaaS clouds are explored and classified. Countermeasures ýare proposed and discussed.
    Keywords: Enterprise Security Pattern, Cloud Computing, Security Architecture
    Abstract View Paper Original: Persian
  • Provida Method Based onSupport VectorMachinesForIntrusion DetectioninComputer Networks
    Narges Salehpour, Mohammad Nazari Farokhi, Ebrahim Nazari Farokhi Pages 51-64
    One of the most important issues in securing computer networks is an Intrusion Detection System. Intrusion detection systems are searching for malicious behavior, deviation normal patterns and attacks on computer networks are discovered. This system recognizes the type of traffic allowed for unauthorized traffic. Since the today's data mining techniques to intrusion detection in computer networks are used. In this research is provided, a method for designing an intrusion detection system based on machine learning. One of the features of neural networks and machine learning systems, training is based on the training data. In this research is used for detecting the intrusion of machine learning to learn the features of the theory of Rough property that has a higher correlation coefficient is used. To train and evaluate has used the proposed approach the KDD CUP 99 dataset. This study, the accuracy of our method compares with feature-based learning algorithm, neural network self and decision tree. The simulation results show that the proposed system has high accuracy and speed of detection based on rough theory is right
    Keywords: Intrusion detection systems, Support vector machine, Machine learning systems, Rough set theory
    Abstract View Paper Original: Persian
  • Web penetration testing overview
    Mahin Mirjalili, Alireza Nowroozi, Mitra Alidoosti Pages 65-82
    This paper reviews the penetration test specifically in the field of web. For this purpose, it first reviews articles generally on penetration test and its associated methods. Then articles in the field of web penetration test are examined in three aspects: comparing automatic penetration test tools, introduction of new methods or tools for manual penetration test, and articles that presented a test environment for training or checking various instrument sand methods. This article studied 4 different methodologies for web penetration test, 13 articles for comparing web vulnerability scanners, 10 articles that proposed a new method or tool for penetration test and 4 test environments.
    Keywords: penetration test, web vulnerability, scanner
    Abstract View Paper Original: Persian
  • A review of protocols based on the LPN problem In the RFID system
    Nasour Bagheri, Reza Aghamohammadi Pages 83-98
    RFID systems uses radio frequency communication for automatic identification, tracking and management of objects, people and animals. Tags and readers performance depends on the two devices that use radio frequencies to communicate between each other as well. For secure communication between tag and reader, cryptographic protocols used. The fundamental basis for the security of cryptographic protocols based on computational complexity point. Is clearly an encryption protocol called safe when breaking security, are computationally equivalent to solve a very difficult problem. In this paper,we talk about the advantages of designing cryptographic protocols for RFID tags based on non-conventional hard LPN.
    Keywords: RFID, Learning Parity with Noise(LPN), Authentication
    Abstract View Paper Original: Persian