آشنایی با سیستم های تشخیص نفوذ

آشنایی با سیستم های تشخیص نفوذ- قسمت سوم

 

در این سری مقالات به معرفی سیستم های تشخیص نفوذ که یکی از ابزارهای امنیت سیستم ها و شبکه ها می باشند، می پردازیم.

پاداسکریپت مرجع تخصصی پارسی دانلود و خرید اسکریپت.

 

در این بخش انواع سیستم های تشخیص نفوذ را بررسی می کنیم.

 

انواع سیستم های تشخیص نفوذ

در بخش های قبل اشاره شد که سه وظیفه ی اصلی IDS ها، نظارت، تشخیص و واکنش است؛ بر این اساس هر IDS را می توان براساس روش های تشخیص نفوذ، معماری و انواع پاسخ به نفوذ تقسیم بندی کرد.

انواع روش های تشخیص نفوذ

نفوذ به فرآیند رخنه و حمله ی ناشی از آن گفته می شود و درواقع یک سری اقدامات غیرقانونی توسط نفوذگران انجام می شود که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر می اندازد.
نفوذها می توانند به دو دسته ی داخلی و خارجی تقسیم شوند:

نفوذهای خارجی، توسط افراد مجاز و یا غیرمجاز از خارج از شبکه به درون شبکه ی داخلی صورت می گیرد.
نفوذهای داخلی، توسط افراد مجاز در سیستم و شبکه ی داخلی، از درون خود شبکه صورت می پذیرد.

نفوذگرها عموما از عیوب نرم افزاری، شکستن کلمات رمز، استراق سمع ترافیک شبکه و نقاط ضعف طراحی در شبکه، سرویس ها و یا کامپیوترهای شبکه برای نفوذ به سیستم ها و شبکه های کامپیوتری بهره می برند.
روش های تشخیص نفوذ که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکه ی کامپیوتری را بر عهده دارند و در سیستم های تشخیص نفوذ استفاده می شوند، به دو دسته تقسیم می شوند:

۱. روش تشخیص رفتار غیرعادی (Anomaly Detection )

۲. روش تشخیص سوء استفاده یا تشخیص مبتنی بر امضا
( Misuse Detection یا Signature-based Detection )

۱. روش تشخیص رفتار غیرعادی (Anomaly Detection )

در این روش، یک profile از رفتار عادی ایجاد می شود؛ یک ناهنجاری ممکن است نشان دهنده ی یک نفوذ باشد. برای ایجاد profile های رفتار عادی از روش هایی مانند: شبکه های عصبی، تکنیک های یادگیری ماشین و حتی سیستم های ایمنی زیستی استفاده می شود.
برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آن ها پیدا کرد. رفتارهایی که از این الگوها پیروی می کنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده می شوند.
نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچ گونه الگوی ثابتی برای نظارت وجود ندارد. معمولا رویدادی که بسیار بیش تر یا کم تر از دو استاندارد انحراف از آمار عادی به وقوع می پیوندد، غیرعادی فرض می شود.

به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا کامپیوتری که در ساعت ۲ بعداز نیمه شب مورد استفاده قرار گرفته است، در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد؛ هر یک از این موارد می تواند به عنوان یک رفتار غیرعادی در نظر گرفته شود.

تکنیک ها و معیارهایی که در تشخیص رفتار غیرعادی به کار می روند:

تشخیص سطح آستانه:
این تکنیک مبتنی بر تعیین حد آستانه ی انواع فعالیت ها روی شبکه است:

• تعداد ورود و خروج به یا از سیستم
• زمان استفاده از سیستم
• اجرای یک دستور مشخص توسط یک کاربر در یک تماس با یک میزبان(host )

موارد فوق از مشخصه های رفتاری سیستم و یا استفاده کننده است که می توان با شمارش آن به رفتار غیرعادی سیستم پی برد و آن را ناشی از یک نفوذ دانست؛ البته بسیاری از حملات به گونه ای هستند که نمی توان به راحتی و با کمک این روش، آن ها را تشخیص داد.

معیارهای آماری:
در نوع پارامتریک، مشخصات جمع شده براساس یک الگوی خاص در نظر گرفته می شود و در حالت غیرپارامتریک، براساس مقادیری که به تجربه حاصل شده است مقایسه صورت می گیرد. از IDS های معروف که از اندازه گیری آماری برای تشخیص نفوذ رفتار غیرعادی استفاده می کنند می توان NIDS را نام برد.

سایر معیارها:
معیارهای قانون گرا، روش های خوشه بندی، شبکه های عصبی، الگوریتم های ژنتیک و مدل های سیستم ایمنی.

دو معیار تشخیص سطح آستانه و معیارهای آماری در IDS های تجاری استفاده می شوند. متاسفانه تشخیص دهندگان نفوذهای غیرعادی و IDS هایی از این نوع،‌ باعث ایجاد تعداد زیادی هشدار نادرست می شوند و آن هم به این خاطر است که الگوهای رفتاری از جانب استفاده کنندگان و سیستم بسیار متفاوت است؛ در عوض محققان ادعا می کنند برخلاف روش های تشخیص مبتنی بر امضا(که حتما باید با الگوهای حملات قبلی منطبق باشند)، روش های تشخیص رفتار غیرعادی، قادر به کشف انواع حملات جدید هستند.
با این وجود ایجاد یک سیستم تشخیص نفوذ براساس روش های تشخیص رفتار غیرعادی همشه کار آسانی نیست، هم چنین این روش ها از دقت روش های تشخیص مبتنی بر امضا برخوردار نیستند.

۲. روش تشخیص سوء استفاده یا تشخیص مبتنی بر امضا

( Misuse Detection یا Signature-based Detection )
در این تکنیک که معمولا با نام تشخیص مبتنی بر امضا شناخته شده است، الگوهای نفوذ از پیش ساخته شده (امضا) به صورت قانون نگه داری می شوند؛ به طوری که هر الگو انواع متفاوتی از یک نفوذ خاص را در برگرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام می شود.

در این روش ها، معمولا تشخیص دهنده دارای پایگاه داده ای از امضاها یا الگوهای حمله است و سعی می کند با بررسی ترافیک شبکه، الگوهای شبکه با آن چه را که در پایگاه داده ی خود نگه داری می کند، بیابد. این دسته از روش ها تنها قادر به تشخیص نفوذهای شناخته شده می باشند و در صورت بروز حملات جدید در سطح شبکه، نمی توانند آن ها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سیستم تشخیص نفوذ اضافه کند.

از مزایای این روش، دقت در تشخیص نفوذهایی است که الگوی آن ها عینا به سیستم داده شده است؛ این روش در بیش تر سیستم های موفق تشخیص نفوذ به کار گرفته می شود.

در بسیاری از موارد، IDS علاوه بر آگاه کردن مدیر شبکه، اتصال با نفوذگر را شروع مجدد می کند و یا با کمک یک فایروال و انجام عملیات کنترل دسترسی با نفوذ بیش تر مقابله می کند. اما بهترین روش برای تشخیص نفوذ، استفاده از ترکیبی از دو روش فوق است.

مثبت غلط: تشخیص نادرست نرمال به حمله(حمله تشخیص داده شده ولی نرمال است)
منفی غلط: تشخیص نادرست حمله به نرمال (نرمال تشخیص داده شده ولی حمله است)
نمای یک سیستم تشخیص نفوذ ترکیبی

می توان سیستم تشخیص نفوذی براساس ترکیبی از دو روش فوق ایجاد نمود:

گزارش به مدیران و واگذاری واکنش به آن ها

• نمایش پیغام روی صفحه
• ارسال پست الکترونیکی

 

منابع:

• امینی مرتضی، سیستم تشخیص نفوذ، مرکز امنیت داده و شبکه شریف، نیمسال اول ۹۱-۹۲
• حمیدی آلاله و ضیایی سیده مارال، معرفی سیستم های تشخیص نفوذ، آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد، تیر۸۸
• سجادی سید داوود و فتحی علیرضا و متقی مهدی، لینوکس، شبکه، امنیت، انتشارات ناقوس، ۲۰۱۱
• پیبراه امیرحسین، intrusion detection system
• پورمحسنی سجاد، بررسی و شناسایی سیستم های تشخیص نفوذ شبکه های کامپیوتری، دانشگاه علم و صنعت ایران
• • حسام.ح دانشجوی نرم افزار کامپیوتر، آموزش کلی IDS و روش های عبور از آن
  • (۴shir.com)
• David L. Prowse, CompTIA Security+ SY0-201 Cert Guide, 2011
• Ido Dubrawsky, CompTIA Security+ Certification Study Guide, 2009
• سایت wikipedia.org
• موتورهای جست وجوی google و duckduckgo