دیجی اسکریپت

معرفی

آشنایی با سیستم های تشخیص نفوذ- قسمت اول

 

در این سری مقالات به معرفی سیستم های تشخیص نفوذ که یکی از ابزارهای امنیت سیستم ها و شبکه ها می باشند، می پردازیم.

پاداسکریپت مرجع تخصصی پارسی دانلود و خرید اسکریپت.

 

مقدمه

برای ایجاد امنیت کامل در یک سیستم کامپیوتری، علاوه بر دیواره های آتش و دیگر تجهیزات جلوگیری از نفوذ، سیستم های دیگری به نام سیستم های تشخیص نفوذ (IDS) مورد نیاز می باشند تا بتوانند در صورتی که نفوذگر از دیواره ی آتش، آنتی ویروس و دیگر موارد امنیتی عبور کرد و وارد سیستم شد، آن را تشخیص داده و چاره ای برای مقابله با آن بیندیشند.

سیستم های تشخیص نفوذ را می توان از سه جنبه ی روش تشخیص، معماری و نحوه ی پاسخ به نفوذ طبقه بندی کرد. انواع روش های تشخیص نفوذ عبارتنداز: تشخیص رفتار غیرعادی و تشخیص سوء استفاده (تشخیص مبتنی بر امضا).

انواع مختلفی از معماری سیستم های تشخیص نفوذ وجود دارد که به طور کلی می توان آن ها را در سه دسته ی مبتنی بر میزبان(HIDS )، مبتنی بر شبکه(NIDS ) و توزیع شده (DIDS ) تقسیم بندی نمود.

سیستم های تشخیص نفوذ برای کمک به مدیران امنیتی سیستم در جهت کشف نفوذ و حمله، به کار گرفته می شوند.

هدف این سیستم ها، جلوگیری از حمله نیست و تنها کشف و احتمالا شناسایی حملات و تشخیص اشکالات امنیتی در سیستم یا شبکه ی کامپیوتری و اعلام آن به مدیر سیستم است.

عموما سیستم های تشخیص نفوذ در کنار دیواره های آتش و به صورت مکمل امنیتی برای آن ها مورد استفاده قرار می گیرند.

سیستم تشخیص نفوذ چیست؟

با یک مثال شروع می کنیم:
فرض کنیم برای کنترل ورود و خروج به ساختمان یک اداره، یک در داریم.

پس از شناسایی فرد مورد نظر، در را برای او باز می کنیم؛ این در حالی است که تا قبل از این که در باز نشده است نمی توان تشخیص داد که طرف مجاز به ورود هست یا خیر!

به منظور ایجاد امنیت، ما یک نگهبان خیلی قوی برای در ساختمان استخدام می کنیم.

(firewall ) و قوانین و مقررات ورود و خروج، مشخصات افراد مجاز به عبور و سیاست های امنیتی مورد نظرمان را با او هماهنگ می کنیم تا از ورود و خروج افراد غیرمجاز جلوگیری نماییم.

حال مشکل زمانی به وجود می آید که مثلا احتمال دارد پشت در ۱۰ نفر آدم خیلی قوی (حتی قوی تر از نگهبان ما) وجود داشته باشند که وقتی در باز شود دیگر نگهبان نتواند جلوی ورود آن ها را بگیرد (حمله ی DoS ).

برای حل این مشکل در خیلی جاها از یک سیستم آیفون تصویری و یا چشمی پشت در یا مانند این ها، استفاده می کنند.

تا قبل از این که در باز شود پشت در را ببینند و به صورت نسبی تشخیص بدهند که آیا در را باز کنند یا خیر.

منظور از واژه ی نسبی این است که امکان دارد با وجود داشتن این امکانات (چشمی در، آیفون تصویری و… ) باز هم مشکلاتی به وجود آید و تشخیص اشتباه داده شود، مانند:

• ممکن است فرد یا افرادی را که از چشمی در یا آیفن تصویری مشاهده می کنیم، به ظاهر مشخصات افراد مجاز را داشته باشند ولی با ورود به ساختمان و عبور از فیلتر نگهبان، به خرابکاری دست بزنند.
• ممکن است فرد یا افراد مشاهده شده پشت در، ظاهرا و از دید سیاست های امنیتی تعریف شده ی ما، خرابکار و غیرمجاز تلقی شوند اما در اصل، افراد مفیدی برای اداره باشند.

 

معادل این مثال در شبکه

عاملی بر سر راه مسیرهای ورودی (مانند اینترنت) به شبکه قرار می دهیم که ترافیک های آزاردهنده برای شبکه (مانند حمله های DoS ) را قبل از ورود به شبکه شناسایی کند و جلوی ورود آن ها را به شبکه بگیرد.

نام این عامل سیستم تشخیص نفوذ یا IDS – Intrusion Detection System است که موضوع این نوشتار است.

یک سیستم ساده IDS که host-based باشد، می تواند شما را از تغییرات ناخواسته در فایل های مهم سیستمی آگاه کند.

(براساس checksum مربوط به فایل ها، کارش را انجام می دهد)

یک سیستم IDS مبتنی بر شبکه (Network IDS ) می تواند شما را از یک حمله ی بالقوه خبر کند.

مبنای کار آن می تواند بر پایگاه داده ای از حمله های شناخته شده یا حتی تفاوت های بین وضعیت جاری شبکه و وضعیت طبیعی و عادی شبکه باشد.
IDS درواقع یک نوع سیستم پیشرفته ی دزدگیر است.

برخی از این حمله ها (مخصوصا آن هایی که در لایه ی application هستند، مثل web exploit ) ممکن است از طریق firewall صورت گیرد.

 

تفاوت firewall با IDS

حال این سوال مطرح می شود که نقش firewall چیست؟
در حقیقت باید گفت که خیلی روش ها هستند که می توانند خود firewall را هم از کار بیندازند ( افراد قوی پشت در ).

دیوار آتش معمولا ابزار امنیتی است که برای اعمال سیاست های عبور و مرور بسته ها بین شبکه ی محلی و شبکه ی عمومی استفاده می شود.(درواقع سیاست هایی را که ما برای آن تعریف کرده ایم).

دیوار آتش برای حمله هایی که در لایه ی ۳ و۴ TCP/IP هستند، طراحی شده است و بسته ها را از لحاظ مبدا، مقصد و… بررسی می کند و کنترلی بر محتوای بسته ها ندارد.

لذا بسته هایی که از لایه ی ۳ و ۴ عبور می کنند و به لایه ی application می رسند، کنترلی در دیواره ی آتش روی آن ها صورت نمی گیرد. بنابراین برای کنترل محتوای بسته ها از این جهت که نفوذ و حمله ای از طریق آن ها صورت می گیرد یا خیر، به IDS نیاز است.

فایروال ها درجه های هوشمند زیادی دارند اما در عمل در نحوه ی انجام عملیاتی خود انعطاف زیادی ندارند.
هم چنین اگر با ارائه یک دسته گزارش و ثبت تلاش های نفوذگری در فایل های لاگ ، شما را آگاه می کنند ولی معمولا این گزارش ها واضح و دقیق نیستند.

بحث تشخیص نفوذ (یا intrusion detection )، تشخیص شرایطی را می دهد که از قبل مدل تعریف شده ی صرف برای آن وجود ندارد و فقط یک سری تعریف در مورد وضعیت غیر طبیعی برای آن موجود است که شاید در نهایت موردهای اشتباهی هم در تشخیص داشته باشد: مانند مواردی که گفته شد(توجه به کلمه ی نسبی ).

 

مکمل های سیستم های تشخیص نفوذ در برقراری امنیت

به دلیل تفاوت در ماهیت عملکرد دو ابزار firewall و IDS ها، تلفیقی از استفاده از هر دو ابزار می تواند امنیت کلی سیستم را بالا ببرد.

IDS یکی از مهم ترین مباحث امنیت شبکه است که وجود آن در کنار سیستم جلوگیری از نفوذ، باعث بالا رفتن درجه ی امنیت سیستم خواهد شد.

امنیت کامپیوتری (computer security ) یعنی شناسایی و جلوگیری از هرگونه دسترسی و استفاده ی غیرمجاز از یک کامپیوتر؛ این تعریف بر دو مفهوم اساسی جلوگیری و ممانعت prevention و کشف و شناسایی detection دلالت دارد.!

اگرچه هم فایروال ها و هم IDS ها در هر دو جنبه ی ذکر شده، کاربرد مشترکی پیدا می کنند اما باید توجه داشت که وظیفه ی اصلی فایروال، جلوگیری و وظیفه ی یک IDS در شناسایی است؛ به همین منظور این دو ابزار مکمل هم محسوب می شوند.

با توجه به افزایش نفوذگری ها در عصر اینترنت و پیدایش روش های جدید و پیچیده ی نفوذگری، نیاز به IDS ها، کم کم غیرقابل اجتناب می شود، به این دلیل که IDS ها می توانند انواع متنوع و پیچیده تری از نفوذها و اختلال ها را شناسایی کنند و در صورت امکان، خود از این اقدامات جلوگیری نمایند.

توجه: در برخی کشورها تقریبا تمامی شرکت ها و سازمان های کوچک و بزرگ از IDS ها استفاده می کنند و IDS ها خیلی گران تر از فایروال ها هستند.

توجه: IDS ها تا این لحظه بهترین و مؤثرترین انتخاب برای شناسایی و پاسخ گویی به حملات درونی و بیرونی یک شبکه به حساب می آیند.

نکته: هیچ ابزار امنیتی حتی سیستم های IDS ، هرگز امنیت کامل شبکه را تضمین نمی کنند؛ اما زمانی که در کنار اعمالی مانند تعیین خط مشی های امنیتی (security policy ) ، ارزیابی نقاط ضعف سیستم ها (vulnerability assessment ) ، رمزکردن داده ها و اطلاعات (data encryption ) ، اعتبارسنجی و مجوزدهی (authorization و authentication ) و فایروال و سپس استفاده از یک IDS ، میزان امنیت شبکه به طور قابل توجهی افزایش یافته است.

 

تعریف نفوذ (Intrusion )

فرآیند حمله و رخنه ی ناشی از آن، به عنوان یک نفوذ شناخته می شود.

در دنیای واقعی، اثر انگشت یک دلیل قانونی برای مجرمرخ شناختن فرد می باشد.

مشابه این موضوع در دنیای شبکه های کامپیوتری اتفاق می افتد، بدین شکل که یک حمله با اثر انگشت منحصربه فرد خود صورت می گیرد که به آن signature یا امضا می گویند.

با شناسایی این اثر انگشت یا امضا، می توان به وجود حمله پی برد. قوانین شناسایی نفوذ هم از روی همین اثر انگشت های منحصربه فرد هر حمله شناخته می شوند.

تعریف تشخیص نفوذ

تشخیص نفوذ عبارت است از فرآیند نظارت بر وقایع رخ داده در یک کامپیوتر و یا شبکه در جهت کشف موارد انحراف از سیاست های امنیتی.
در واقع هر زمان که از تشخیص یا کشف نفوذ بحث می شود، منظور این است که کامپیوتر مورد نظر ما تشخیص دسترسی غیرمجاز می دهد.

سیستم های تشخیص نفوذ (سیستم های دخول سرزده – IDS )
سیستم هایی (سخت افزار، نرم افزار یا تلفیقی از هردو) هستند که با بررسی و نظارت یک شبکه یا کامپیوتر، موارد و رخدادهای مشکوکی را که برخلاف سیاست های امنیتی تعریف شده برای آن کامپیوتر یا شبکه است را کشف و در صورت لزوم به آن ها پاسخی مناسب می دهند.

سیستم های تشخیص نفوذ سخت افزاری یا نرم افزاری؟
هر کدام از این سیستم ها مزایا و معایب خود را دارند؛

• سرعت و دقت و عدم شکست امنیتی توسط نفوذگران از مزایای سیستم های سخت افزاری است.
• استفاده ی آسان از نرم افزار، قابلیت انطباق پذیری در شرایط نرم افزاری و تفاوت های سیستم عامل های مختلف، عمومیت بیش تری را به سیستم های نرم افزاری می دهد و معمولا این سیستم ها انتخاب مناسب تری هستند.

این سیستم ها، لاگ فایل های سرورها و روترها را می خوانند و آن ها را با ساختار حملات ممکن مطابقت می دهند.

پس از تطابق حاصله، IDS ، تصمیم های متفاوتی می گیرد از جمله : اخطار می دهد، دسترسی را قطع می کند، سرور را خاموش می کند و یک سری کارها انجام می دهد تا به شواهد بیش تری از وجود نفوذگر پی ببرد.

 

روش های هوشمند در تشخیص نفوذ به شبکه های کامپیوتری

• سیستم تشخیص نفوذ، یک سیستم محافظتی است که خرابکاری های در حال وقوع در شبکه را شناسایی می کند.
• در این سیستم ها با استفاده از اطلاعاتی مانند پایش پورت ها و تشخیص ترافیک غیرمتعارف، نفوذ خرابکاری ها را می توان کشف و مسئول شبکه گزارش داد.
• برای آن که IDS ها قدرت کشف و تشخیص نفوذهای از قبل تعریف نشده را داشته باشند، به نوعی هوشمندی نیاز دارند. در این حالت، این سیستم ها قابلیت یادگیری دارند و می توانند روی بسته های وارد شده به شبکه تحلیل انجام داده و کاربران عادی و غیرعادی را تشخیص دهند. روش های هوشمند متداول شامل شبکه های عصبی، منطق فازی، تکنیک های داده کاوی و الگوریتم های ژنتیک می باشند.

سه وظیفه ی اصلی IDS ها

• نظارت، ارزیابی و پایش (Scan )
• تشخیص(کشف)
• واکنش (عموما اخطار)
  (دسته ای مشابه از ابزارهای امنیتی به نام IPS وجود دارد که پس از پایش و تشخیص، بسته های حمله ی احتمالی را حذف می کنند).

آرایش قرارگیری IDS در شبکه

 

معماری یک IDS

در قسمت بعد به تاریخچه ی سیستم های تشخیص نفوذ می پردازیم…

 

منابع:

• امینی مرتضی، سیستم تشخیص نفوذ، مرکز امنیت داده و شبکه شریف، نیمسال اول ۹۱-۹۲
• حمیدی آلاله و ضیایی سیده مارال، معرفی سیستم های تشخیص نفوذ، آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد، تیر۸۸
• سجادی سید داوود و فتحی علیرضا و متقی مهدی، لینوکس، شبکه، امنیت، انتشارات ناقوس، ۲۰۱۱
• پیبراه امیرحسین، intrusion detection system
• پورمحسنی سجاد، بررسی و شناسایی سیستم های تشخیص نفوذ شبکه های کامپیوتری، دانشگاه علم و صنعت ایران
• • حسام.ح دانشجوی نرم افزار کامپیوتر، آموزش کلی IDS و روش های عبور از آن
  • (۴shir.com)
• David L. Prowse, CompTIA Security+ SY0-201 Cert Guide, 2011
• Ido Dubrawsky, CompTIA Security+ Certification Study Guide, 2009
• سایت wikipedia.org
• موتورهای جست وجوی google و duckduckgo

 

معرفی

آشنایی با سیستم های تشخیص نفوذ- قسمت دوم

در این سری مقالات به معرفی سیستم های تشخیص نفوذ که یکی از ابزارهای امنیت سیستم ها و شبکه ها می باشند، می پردازیم.

پاداسکریپت مرجع تخصصی پارسی دانلود و خرید اسکریپت.

در این بخش به تاریخچه ی سیستم های تشخیص نفوذ می پردازیم.

 

تاریخچه ی سیستم های تشخیص نفوذ

• ممیزی: فرآیند تولید، ثبت و مرور یک سابقه ی تاریخی از وقایع سیستم (اواخر دهه ی ۷۰ و اوایل دهه ی ۸۰ )
  • ترمیم در زمان بروز خطا
  • بازسازی وقایع سیستم
  • کشف سوء استفاده ها
• اطلاعات ثبت شده
  • زمان و تاریخ رویداد
  • شناسه کاربر ایجاد کننده ی آن رویداد (این شناسه باید برای هر کاربر یکتا باشد)
  • نوع رویداد یا حادثه
  • موفقیت یا شکست آن رویداد

تحقیقات و توسعه در حوزه ی سیستم های تشخیص نفوذ از سال ۱۹۸۰ به بعد شکل گرفت؛

 

نسل اول – ۱۹۸۰ سیستم های مبتنی بر میزبان (Host )
(HIDS – Host-based IDS )

• جمع آوری داده ها در سطح سیستم عامل جهت تحلیل
• اولین سیستم IDS ی که در یک سیستم رایانه ای باید پیاده سازی شود.
• پیدایش مفهوم ناهنجاری (anomaly ) و سوء استفاده (misuse )
• مثال: سیستم IDES
• تشخیص ناهنجاری: تولید نمایه (profile ) برای هر کاربر براساس ویژگی ها(نرخ تایپ، مدت نشست (session ) ، تعداد فایل های باز شده، فرمان های صادر شده و …)
• تشخیص سوء استفاده: شناخت نقاط آسیب پذیر سیستم
• با ظهور شبکه های کامپیوتری و افزایش قابلیت دسترسی از راه دور، حملات و نفوذهای شبکه ای نیز به وجود آمد.

 

نسل دوم – ۱۹۹۰ سیستم های مبتنی بر شبکه
(Nids – Network- base IDS )

• جمع آوری داده ها از ترافیک شبکه
• این سیستم ها بدنه ی اصلی شبکه را بازرسی می کنند و به دنبال حملات می گردند.
• تشخیص ناهنجاری: استخراج ویژگی های ترافیک عادی در شبکه
• تشخیص سوء استفاده: شناخت حملات شبکه و تاثیر آن ها بر ترافیک شبکه
• مثال: NSM
• مثال : snort در کامل ترین حالت نمونه ای از NIDS است.
• با رشد و توسعه ی اینترنت و سیستم های باز، نسل سوم IDS ها ایجاد شدند.

 

نسل سوم سیستم های مبتنی بر منابع ناهمگون (distributed )

این سیستم ها از تعدادی HIDS یا NIDS یا ترکیبی از این دو نوع به همراه یک سیستم مدیریت مرکزی تشکیل شده اند. بدین صورت که هر IDS ای که در شبکه موجود است، گزارش های خود را برای سیستم مدیریت مرکزی ارسال می کند.
سیستم مدیریت مرکزی وظیفه ی بررسی کردن گزارش های رسیده و تصمیم بر آگاه سازی مسئول IDS شبکه را بر عهده دارد. این سیستم مرکزی هم چنین وظیفه ی بروز رسانی بانک قوانین شناسایی هر یک از IDS های موجود در شبکه را عهده دار می باشد.

• جمع آوری داده ها هم از میزبان و هم از شبکه
• معماری توزیع شده (در جمع آوری و تحلیل)
• گروهی از IDS هایی که به صورت کنترل از راه دور فعالیت می کنند و گزارش ها را به قسمت مدیریت مرکز ارسال می نمایند.
• سیستم های مبتنی بر عامل (agent )
• مثال: AAFID ، DIDS ، EMERALD
• محصولات تجاری و کاربردی زیادی حاصل شدند.

 

منابع:

• امینی مرتضی، سیستم تشخیص نفوذ، مرکز امنیت داده و شبکه شریف، نیمسال اول ۹۱-۹۲
• حمیدی آلاله و ضیایی سیده مارال، معرفی سیستم های تشخیص نفوذ، آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد، تیر۸۸
• سجادی سید داوود و فتحی علیرضا و متقی مهدی، لینوکس، شبکه، امنیت، انتشارات ناقوس، ۲۰۱۱
• پیبراه امیرحسین، intrusion detection system
• پورمحسنی سجاد، بررسی و شناسایی سیستم های تشخیص نفوذ شبکه های کامپیوتری، دانشگاه علم و صنعت ایران
• • حسام.ح دانشجوی نرم افزار کامپیوتر، آموزش کلی IDS و روش های عبور از آن
  • (۴shir.com)
• David L. Prowse, CompTIA Security+ SY0-201 Cert Guide, 2011
• Ido Dubrawsky, CompTIA Security+ Certification Study Guide, 2009
• سایت wikipedia.org
• موتورهای جست وجوی google و duckduckgo

معرفی

آشنایی با سیستم های تشخیص نفوذ- قسمت سوم

 

در این سری مقالات به معرفی سیستم های تشخیص نفوذ که یکی از ابزارهای امنیت سیستم ها و شبکه ها می باشند، می پردازیم.

پاداسکریپت مرجع تخصصی پارسی دانلود و خرید اسکریپت.

 

در این بخش انواع سیستم های تشخیص نفوذ را بررسی می کنیم.

 

انواع سیستم های تشخیص نفوذ

در بخش های قبل اشاره شد که سه وظیفه ی اصلی IDS ها، نظارت، تشخیص و واکنش است؛ بر این اساس هر IDS را می توان براساس روش های تشخیص نفوذ، معماری و انواع پاسخ به نفوذ تقسیم بندی کرد.

انواع روش های تشخیص نفوذ

نفوذ به فرآیند رخنه و حمله ی ناشی از آن گفته می شود و درواقع یک سری اقدامات غیرقانونی توسط نفوذگران انجام می شود که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر می اندازد.
نفوذها می توانند به دو دسته ی داخلی و خارجی تقسیم شوند:

نفوذهای خارجی، توسط افراد مجاز و یا غیرمجاز از خارج از شبکه به درون شبکه ی داخلی صورت می گیرد.
نفوذهای داخلی، توسط افراد مجاز در سیستم و شبکه ی داخلی، از درون خود شبکه صورت می پذیرد.

نفوذگرها عموما از عیوب نرم افزاری، شکستن کلمات رمز، استراق سمع ترافیک شبکه و نقاط ضعف طراحی در شبکه، سرویس ها و یا کامپیوترهای شبکه برای نفوذ به سیستم ها و شبکه های کامپیوتری بهره می برند.
روش های تشخیص نفوذ که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکه ی کامپیوتری را بر عهده دارند و در سیستم های تشخیص نفوذ استفاده می شوند، به دو دسته تقسیم می شوند:

۱. روش تشخیص رفتار غیرعادی (Anomaly Detection )

۲. روش تشخیص سوء استفاده یا تشخیص مبتنی بر امضا
( Misuse Detection یا Signature-based Detection )

۱. روش تشخیص رفتار غیرعادی (Anomaly Detection )

در این روش، یک profile از رفتار عادی ایجاد می شود؛ یک ناهنجاری ممکن است نشان دهنده ی یک نفوذ باشد. برای ایجاد profile های رفتار عادی از روش هایی مانند: شبکه های عصبی، تکنیک های یادگیری ماشین و حتی سیستم های ایمنی زیستی استفاده می شود.
برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آن ها پیدا کرد. رفتارهایی که از این الگوها پیروی می کنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده می شوند.
نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچ گونه الگوی ثابتی برای نظارت وجود ندارد. معمولا رویدادی که بسیار بیش تر یا کم تر از دو استاندارد انحراف از آمار عادی به وقوع می پیوندد، غیرعادی فرض می شود.

به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا کامپیوتری که در ساعت ۲ بعداز نیمه شب مورد استفاده قرار گرفته است، در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد؛ هر یک از این موارد می تواند به عنوان یک رفتار غیرعادی در نظر گرفته شود.

تکنیک ها و معیارهایی که در تشخیص رفتار غیرعادی به کار می روند:

تشخیص سطح آستانه:
این تکنیک مبتنی بر تعیین حد آستانه ی انواع فعالیت ها روی شبکه است:

• تعداد ورود و خروج به یا از سیستم
• زمان استفاده از سیستم
• اجرای یک دستور مشخص توسط یک کاربر در یک تماس با یک میزبان(host )

موارد فوق از مشخصه های رفتاری سیستم و یا استفاده کننده است که می توان با شمارش آن به رفتار غیرعادی سیستم پی برد و آن را ناشی از یک نفوذ دانست؛ البته بسیاری از حملات به گونه ای هستند که نمی توان به راحتی و با کمک این روش، آن ها را تشخیص داد.

معیارهای آماری:
در نوع پارامتریک، مشخصات جمع شده براساس یک الگوی خاص در نظر گرفته می شود و در حالت غیرپارامتریک، براساس مقادیری که به تجربه حاصل شده است مقایسه صورت می گیرد. از IDS های معروف که از اندازه گیری آماری برای تشخیص نفوذ رفتار غیرعادی استفاده می کنند می توان NIDS را نام برد.

سایر معیارها:
معیارهای قانون گرا، روش های خوشه بندی، شبکه های عصبی، الگوریتم های ژنتیک و مدل های سیستم ایمنی.

دو معیار تشخیص سطح آستانه و معیارهای آماری در IDS های تجاری استفاده می شوند. متاسفانه تشخیص دهندگان نفوذهای غیرعادی و IDS هایی از این نوع،‌ باعث ایجاد تعداد زیادی هشدار نادرست می شوند و آن هم به این خاطر است که الگوهای رفتاری از جانب استفاده کنندگان و سیستم بسیار متفاوت است؛ در عوض محققان ادعا می کنند برخلاف روش های تشخیص مبتنی بر امضا(که حتما باید با الگوهای حملات قبلی منطبق باشند)، روش های تشخیص رفتار غیرعادی، قادر به کشف انواع حملات جدید هستند.
با این وجود ایجاد یک سیستم تشخیص نفوذ براساس روش های تشخیص رفتار غیرعادی همشه کار آسانی نیست، هم چنین این روش ها از دقت روش های تشخیص مبتنی بر امضا برخوردار نیستند.

۲. روش تشخیص سوء استفاده یا تشخیص مبتنی بر امضا

( Misuse Detection یا Signature-based Detection )
در این تکنیک که معمولا با نام تشخیص مبتنی بر امضا شناخته شده است، الگوهای نفوذ از پیش ساخته شده (امضا) به صورت قانون نگه داری می شوند؛ به طوری که هر الگو انواع متفاوتی از یک نفوذ خاص را در برگرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام می شود.

در این روش ها، معمولا تشخیص دهنده دارای پایگاه داده ای از امضاها یا الگوهای حمله است و سعی می کند با بررسی ترافیک شبکه، الگوهای شبکه با آن چه را که در پایگاه داده ی خود نگه داری می کند، بیابد. این دسته از روش ها تنها قادر به تشخیص نفوذهای شناخته شده می باشند و در صورت بروز حملات جدید در سطح شبکه، نمی توانند آن ها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سیستم تشخیص نفوذ اضافه کند.

از مزایای این روش، دقت در تشخیص نفوذهایی است که الگوی آن ها عینا به سیستم داده شده است؛ این روش در بیش تر سیستم های موفق تشخیص نفوذ به کار گرفته می شود.

در بسیاری از موارد، IDS علاوه بر آگاه کردن مدیر شبکه، اتصال با نفوذگر را شروع مجدد می کند و یا با کمک یک فایروال و انجام عملیات کنترل دسترسی با نفوذ بیش تر مقابله می کند. اما بهترین روش برای تشخیص نفوذ، استفاده از ترکیبی از دو روش فوق است.

مثبت غلط: تشخیص نادرست نرمال به حمله(حمله تشخیص داده شده ولی نرمال است)
منفی غلط: تشخیص نادرست حمله به نرمال (نرمال تشخیص داده شده ولی حمله است)
نمای یک سیستم تشخیص نفوذ ترکیبی

می توان سیستم تشخیص نفوذی براساس ترکیبی از دو روش فوق ایجاد نمود:

گزارش به مدیران و واگذاری واکنش به آن ها

• نمایش پیغام روی صفحه
• ارسال پست الکترونیکی

 

منابع:

• امینی مرتضی، سیستم تشخیص نفوذ، مرکز امنیت داده و شبکه شریف، نیمسال اول ۹۱-۹۲
• حمیدی آلاله و ضیایی سیده مارال، معرفی سیستم های تشخیص نفوذ، آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد، تیر۸۸
• سجادی سید داوود و فتحی علیرضا و متقی مهدی، لینوکس، شبکه، امنیت، انتشارات ناقوس، ۲۰۱۱
• پیبراه امیرحسین، intrusion detection system
• پورمحسنی سجاد، بررسی و شناسایی سیستم های تشخیص نفوذ شبکه های کامپیوتری، دانشگاه علم و صنعت ایران
• • حسام.ح دانشجوی نرم افزار کامپیوتر، آموزش کلی IDS و روش های عبور از آن
  • (۴shir.com)
• David L. Prowse, CompTIA Security+ SY0-201 Cert Guide, 2011
• Ido Dubrawsky, CompTIA Security+ Certification Study Guide, 2009
• سایت wikipedia.org
• موتورهای جست وجوی google و duckduckgo

معرفی

بدون شک اگر یک وب سایت وردپرسی با چند نویسنده داشته باشید باید هر از گاهی اطلاعیه های عمومی به این نویسندگان نمایش دهید و چه جایی بهتر از پنل مدیریت وردپرس شما که نویسندگان با استفاده از آن پست های جدید روی سایت وردپرسی شما منتشر می‌کنند.

پس بهتر است از قابلیت admin notice در وردپرس استفاده کنید تا بتوانیداطلاعیه‌های خود را به نویسندگان سایتتان نمایش دهید. برای نمایش اطلاعیه‌ها باید از این فیلتر با استفاده از برنامه‌نویسی یا ساخت یک افزونه جدید استفاده کنید اما در وردپرس همیشه راه‌های بهتری هم وجود دارد. افزونه که امروز به شما معرفی می‌کنیم به شما امکان درج اطلاعیه در پنل مدیریت وردپرس را بدون برنامه‌نویسی می‌دهد.

نمایش اطلاعیه به نویسندگان در پیشخوان

با نصب افزونه KJM Admin Notices می‌توانید از پنل مدیریت وردپرس خود اطلاعیه‌های جدید را منتشر کنید. پس‌نیازی به برنامه‌نویسی برای نمایش پیغام‌ها نخواهید داشت.

امکانات کلی افزونه نمایش اطلاعیه به نویسندگان

• قابلیت ساخت و نمایش  اطلاعیه‌ها از پنل وردپرس شما
• طراحی  شده برای ارتباط مستقیم بین مدیریت و نویسندگان یا کاربران
• قابلیت استایل دهی به اطلاعیه‌ها با چهار مدل رنگ‌بندی
• قابلیت استفاده از شورت کد 
• قابلیت زمان‌بندی اطلاعیه‌ها 

پیشنهاد می‌کنیم برای بخش کاربران خود از افزونه‌ای مثل میهن پنل استفاده کنید و برای نویسندگان خود از پنل مدیریت اصلی وردپرس تا بتوانید اطلاعیه‌ها را درپنل اصلی وردپرس نمایش دهید و کاربران شما اطلاعیه‌ها را مشاهده نکند.

آموزش کار با افزونه KJM Admin Notices

ابتدا از بخش افزونه‌ها این افزونه را نصب کنید. آموزش نصب افزونه در وردپرس را ببینید. سپس به بخش تنظیمات > KJM Admin Notices رفته و اطلاعیه‌ها را مدیریت کنید.

موفق باشید. 🙂

راستی! برای دریافت مطالب وردپرسی در کانال تلگرام میهن وردپرس عضو شوید.