پاسخگویی به حوادث امنیتی با بهره گیری از پروتکلIPFIX

با توجه به افزایش حملات پیچیده و لزوم پاسخگویی به حوادث رایانه ای، سازمان ها نیازمند به کنترل و رسیدگی به حوادث امنیتی هستند. یکی از پیش نیازهای رسیدگی به حوادث امنیتی در شبکهها و زیرساختها اجرای امنسازی، آمادهسازی و فراهم نمودن بستری مناسب جهت جمع آوری شواهد و مدارک فنی و قابل استناد میباشد. بدین منظور در سیستمهای پایش و مراکز امنیتی لازم است تا از پروتکلهای مناسب با توانایی جمعآوری اطلاعات و تحلیل بالا مانند پروتکل IPFIX استفاده شود تا نقاط ضعف و کمبودهای پروتکلهای پایش سنتی شبکهها را برطرف نماید. پروتکل IPFIX به پنج سوال رایج در ترافیک شبکه پاسخ میدهد، چه فرستندهای، به کدام گیرنده، در زمان مشخص، چه دادهای را با چه حجمی ارسال میکند. این تحقیق علاوه بر بررسی کاربردهای پروتکل IPFIX در تحلیل ترافیک، نشان میدهد که بکارگیری آن در سیستمهای تحلیل ترافیک، کارآیی تشخیص و پاسخگویی سریع و دقیق به حملات را به دلیل ارایه حداکثر اطلاعات جریان افزایش میدهد. به منظور ارزیابی روش پیشنهادی، تحلیلها بر روی یک نمونه داده معتبر انجام شده است، که با ابزارهای تولیدکننده جریان از جمله YAF، SiLK، Argus و Tranalyzer به قالب سازگار با پروتکل IPFIX تبدیل میشوند