معرفی سيستم‌هاي تشخيص نفوذ

از آزمایشگاه آپا
پرش به: ناوبری, جستجو

براي ايجاد امنيت كامل در يك سيستم كامپيوتري، علاوه بر دیواره‌های آتش و ديگر تجهيزات جلوگيري از نفوذ، سيستم‌های ديگري به نام سيستم‌های تشخيص نفوذ (IDS) مورد نياز مي‌باشند تا بتوانند در صورتي كه نفوذگر از ديواره‌ي ‌آتش، آنتي‌ويروس و ديگر تجهيزات امنيتي عبور كرد و وارد سيستم شد، آن را تشخيص داده و چاره‌اي براي مقابله با آن بيانديشند. سیستم‌های تشخیص نفوذ را می‌توان از سه جنبه‌ی روش تشخیص، معماری و نحوه‌ی پاسخ به نفوذ طبقه‌بندی کرد. انواع روش‌های تشخیص نفوذ عبارتند از تشخیص رفتار غیرعادی و تشخیص سوءاستفاده (تشخیص مبتنی بر امضاء). انواع مختلفي از معماري سيستم‌هاي تشخيص نفوذ وجود دارد كه به‌طور كلي مي‌توان آن‌ها را در سه دسته‌ي مبتني بر ميزبان (HIDS)، مبتني بر شبكه (NIDS) و توزیع‌شده (DIDS) تقسيم‌بندي نمود.

محتویات

مقدمه

در دنياي امروز، كامپيوتر و شبکه‌هاي كامپيوتري متصل به اينترنت نقش عمده‌اي در ارتباطات و انتقال اطلاعات ايفا مي‌كنند. در اين بين افراد سودجو با دسترسي به اطلاعات مهم مراكز خاص يا اطلاعات افراد ديگر و با قصد اعمال نفوذ يا اعمال فشار و يا حتي به هم ريختن نظم سيستم‌ها، عمل تجاوز به سيستم‌هاي كامپيوتري را در پيش گرفته‌اند. Hacker، ‍Cracker و Intruder كلماتي هستند كه امروزه كم و بيش در محافل كامپيوتري مطرح مي‌باشند و اقدام به نفوذ به سيستم‌هاي ديگر كرده و امنيت آن‌ها را به خطر مي‌اندازد. بنابراين لزوم حفظ امنيت اطلاعاتي و حفظ كارآيي در شبكه‌هاي كامپيوتري كه با دنياي خارج ارتباط دارند، كاملأ محسوس است. از آنجا كه از نظر تكنيكي ايجاد سيستم‌هاي كامپيوتري ( سخت‌افزار و نرم‌افزار ) بدون نقاط ضعف و شكست امنيتي عملأ غيرممكن است، تشخیص نفوذ در تحقيقات سيستم‌هاي كامپيوتري با اهميت خاصي دنبال مي‌شود. سيستم‌هاي تشخيص نفوذ (IDS ) براي كمك به مديران امنيتي سيستم در جهت كشف نفوذ و حمله به كار گرفته شده‌اند. هدف يك سيستم تشخيص نفوذ جلوگيري از حمله نيست و تنها كشف و احتمالأ شناسايي حملات و تشخيص اشكالات امنيتي در سيستم يا شبكه‌ي كامپيوتري و اعلام آن به مدير سيستم است. عمومأ سيستم‌هاي تشخيص نفوذ در كنار ديواره‌هاي آتش و به صورت مكمل امنيتي براي آن‌ها مورد استفاده قرار مي‌گيرند.

سیستم‌های تشخیص نفوذ (IDS)

سیستم‌های تشخیص نفوذ (IDS) وظيفه‌ي شناسايي و تشخيص هر گونه استفاده‌ي غيرمجاز به سيستم، سوء استفاده و يا آسيب‌رساني توسط هر دو دسته‌ي كاربران داخلي و خارجي را بر عهده دارند. سيستم‌هاي تشخيص نفوذ به صورت سيستم‌هاي نرم‌افزاري و سخت‌افزاري ايجاد‌ شده و هر كدام مزايا و معايب خاص خود را دارند. سرعت و دقت از مزاياي سيستم‌هاي سخت‌افزاري است و عدم شكست امنيتي آن‌ها توسط نفوذگران، قابليت ديگر اين گونه سيستم‌ها مي‌باشد. اما استفاده‌ي آسان از نرم‌افزار، قابليت انطباق‌پذيري در شرايط نرم‌افزاري و تفاوت سيستم‌‌های عامل‌ مختلف، عموميت بيشتري را به سيستم‌هاي نرم‌افزاري مي‌دهد و عمومأ اين گونه سيستم‌ها انتخاب مناسب‌تري هستند. به‌طور كلي سه عملكرد اصلي IDS عبارتند از:

  • نظارت و ارزيابي
  • كشف
  • واكنش

بر همين اساس هر IDS را مي‌توان بر اساس روش‌هاي تشخيص نفوذ، معماري و انواع پاسخ به نفوذ دسته بندي كرد.

انواع روش‌هاي تشخيص نفوذ

نفوذ به مجموعه‌ي اقدامات غيرقانوني كه صحت و محرمانگي و یا دسترسی به یک منبع را به خطر می‌اندازد، اطلاق می‌گردد. نفوذ‌ها می‌توانند به دو دسته‌ی داخلی و خارجی تقسیم شوند. نفوذهای خارجی به آن دسته نفوذهایی گفته می شود که توسط افراد مجاز و یا غیرمجاز از خارج شبکه به درون شبکه‌ی داخلی صورت می‌گیرد و نفوذهای داخلی توسط افراد مجاز در سیستم و شبکه‌ی داخلی، از درون خود شبکه انجام می‌پذیرد. نفوذ‌گرها عموماً از عیوب نرم‌افزاری، شکستن کلمات رمز، استراق‌سمع ترافیک شبکه و نقاط ضعف طراحی در شبکه، سرویس‌ها و یا کامپیوترهای شبکه برای نفوذ به سیستم‌ها و شبکه‌های کامپیوتری بهره می‌برند. به منظور مقابله با نفوذگران به سیستم ها و شبکه‌های کامپیوتری، روش‌های متعددی تحت عنوان روش‌های تشخیص نفوذ ایجاد گردیده است که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکه‌ی کامپیوتری را بر عهده دارد. روش‌های تشخیص مورد استفاده در سیستم‌های تشخیص نفوذ به دو دسته تقسیم می‌شوند:

  • روش تشخیص رفتار غیر عادی
  • روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء


روش تشخیص رفتار غیر عادی

در این روش، یک نما از رفتار عادی ایجاد می‌شود. یک ناهنجاری ممکن است نشان‌دهنده‌ی یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل شبکه‌ها‌ی عصبی، تکنیک‌های یادگیری ماشین و حتی سیستم‌های ایمنی زیستی استفاده می‌شود. برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آن‌ها پیدا کرد. رفتارهایی که از این الگوها پیروی می‌کنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده می‌شود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع می‌پیوندد، غیرعادی فرض می‌شود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا کامپیوتری که در ساعت 2:00 بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد می‌تواند به عنوان یک رفتار غیر‌عادی در نظر گرفته شود. تکنیک‌ها و معیارهایی که در تشخیص رفتار غیرعادی به کارمی‌روند، عبارتند از:

تشخیص سطح آستانه

تعداد ورود و خروج به / از سیستم و یا زمان استفاده از سیستم، از مشخصه‌های رفتار سیستم و یا استفاده‌کننده است که می‌توان با شمارش آن به رفتار غیرعادی سیستم پی‌برد و آن را ناشی از یک نفوذ دانست. این سطح کاملاً ایستا و اکتشافی است

معیارهای آماری

در نوع پارامتریک، مشخصات جمع شده براساس یک الگوی خاص در نظر گرفته می‌شود و در حالت غیر‌پارامتریک بر اساس مقادیری که به تجربه حاصل شده است مقایسه صورت می‌گیرد. ازIDSهای معروف که از اندازه‌گیری آماری برای تشخیص نفوذ رفتار غیرعادی استفاده می‌کنند، می‌توان NIDS را نام برد.

معیارهای قانون‌گرا

شبیه به معیارهای آماری غیرپارامتریک است، به طوری که داده‌ی مشاهده شده براساس الگوهای استفاده‌شده‌ی مشخصی به طور قابل قبول تعریف می‌شود. اما با الگوهایی که به عنوان قانون مشخص‌شده فرق دارد و به صورت شمارشی نیست.

سایر معیارها

روش‌هاي خوشه‌بندي، شبکه‌های عصبی، الگوریتم‌های ژنتیک و مدل‌های سیستم ایمنی از این دسته هستند. دو معیار اول یعنی تشخیص سطح آستانه و معیار‌های آماری در IDSهای تجاری استفاده می‌شوند. متاسفانه تشخیص‌دهندگان نفوذ‌های غیرعادی و IDSهایی از این نوع، باعث ایجاد تعداد زیادی هشدار نادرست می‌شوند و آن هم به خاطر این است که الگوهای رفتاری از جانب استفاده‌کنندگان و سیستم بسیار متفاوت است. در عوض محققان ادعا می‌کنند برخلاف روش‌های تشخیص مبتنی بر امضاء (که حتماً باید با الگوهای حملات قبلی منطبق باشند)، روش‌های تشخیص رفتار غیرعادی، قادر به کشف انواع حملات جدید هستند. تعدادی از IDSهای تجاری از انواع تشخیص‌دهندگان رفتار غیرعادی هستند و اغلب IDSها از این نوع بیشتر در کارهایی چون پویش پورت استفاده می‌شوند. با این وجود ایجاد یک سیستم تشخیص نفوذ براساس روش تشخیص رفتارهای غیرعادی همیشه کار آسانی نیست، همچنین این روش‌ها از دقت روش‌های تشخیص مبتنی بر امضاء برخوردار نیستند.


روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء

در این تکنیک که معمولاًبا نام تشخیص مبتنی بر امضاء شناخته شده است، الگوهای نفوذ از پیش‌ساخته‌شده (امضاء) به صورت قانون نگهداری می‌شوند. به طوری که هر الگو انواع متفاوتی از یک نفوذ خاص را در بر گرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام می‌شود. در این روش‌ها، معمولاً تشخیص‌دهنده دارای پایگاه‌داده‌ای از امضاء‌ها یا الگوهای حمله است و سعی می‌کند با بررسی ترافیک شبکه، الگوهای مشابه با آن چه را که در پایگاه‌داده‌ی خود نگهداری می‌کند، بیابد. این دسته از روش‌ها تنها قادر به تشخیص نفوذهای شناخته‌شده می‌باشند و در صورت بروز حملات جدید در سطح شبکه، نمی‌توانند آن‌ها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سیستم تشخیص نفوذ اضافه کند. از مزایای این روش دقت در تشخیص نفوذ‌هایی است که الگوی آن‌ها عیناً به سیستم داده شده است.

انواع معماری سیستم‌های تشخیص نفوذ

معماری‌های مختلف سیستم تشخیص نفوذ عبارتند از :

HIDS

سیستم تشخیص نفوذ مبتنی بر میزبان

NIDS

سیستم تشخیص نفوذ مبتنی بر شبکه

DIDS

سیستم تشخیص نفوذ توزیع‌شده

مراجع

ابزارهای شخصی

گویش‌ها
فضاهای نام
عملکردها
گشتن
جعبه‌ابزار