آشنایی با سیستم های تشخیص نفوذ

آشنایی با سیستم های تشخیص نفوذ- قسمت دوم

در این سری مقالات به معرفی سیستم های تشخیص نفوذ که یکی از ابزارهای امنیت سیستم ها و شبکه ها می باشند، می پردازیم.

پاداسکریپت مرجع تخصصی پارسی دانلود و خرید اسکریپت.

در این بخش به تاریخچه ی سیستم های تشخیص نفوذ می پردازیم.

 

تاریخچه ی سیستم های تشخیص نفوذ

• ممیزی: فرآیند تولید، ثبت و مرور یک سابقه ی تاریخی از وقایع سیستم (اواخر دهه ی ۷۰ و اوایل دهه ی ۸۰ )
  • ترمیم در زمان بروز خطا
  • بازسازی وقایع سیستم
  • کشف سوء استفاده ها
• اطلاعات ثبت شده
  • زمان و تاریخ رویداد
  • شناسه کاربر ایجاد کننده ی آن رویداد (این شناسه باید برای هر کاربر یکتا باشد)
  • نوع رویداد یا حادثه
  • موفقیت یا شکست آن رویداد

تحقیقات و توسعه در حوزه ی سیستم های تشخیص نفوذ از سال ۱۹۸۰ به بعد شکل گرفت؛

 

نسل اول – ۱۹۸۰ سیستم های مبتنی بر میزبان (Host )
(HIDS – Host-based IDS )

• جمع آوری داده ها در سطح سیستم عامل جهت تحلیل
• اولین سیستم IDS ی که در یک سیستم رایانه ای باید پیاده سازی شود.
• پیدایش مفهوم ناهنجاری (anomaly ) و سوء استفاده (misuse )
• مثال: سیستم IDES
• تشخیص ناهنجاری: تولید نمایه (profile ) برای هر کاربر براساس ویژگی ها(نرخ تایپ، مدت نشست (session ) ، تعداد فایل های باز شده، فرمان های صادر شده و …)
• تشخیص سوء استفاده: شناخت نقاط آسیب پذیر سیستم
• با ظهور شبکه های کامپیوتری و افزایش قابلیت دسترسی از راه دور، حملات و نفوذهای شبکه ای نیز به وجود آمد.

 

نسل دوم – ۱۹۹۰ سیستم های مبتنی بر شبکه
(Nids – Network- base IDS )

• جمع آوری داده ها از ترافیک شبکه
• این سیستم ها بدنه ی اصلی شبکه را بازرسی می کنند و به دنبال حملات می گردند.
• تشخیص ناهنجاری: استخراج ویژگی های ترافیک عادی در شبکه
• تشخیص سوء استفاده: شناخت حملات شبکه و تاثیر آن ها بر ترافیک شبکه
• مثال: NSM
• مثال : snort در کامل ترین حالت نمونه ای از NIDS است.
• با رشد و توسعه ی اینترنت و سیستم های باز، نسل سوم IDS ها ایجاد شدند.

 

نسل سوم سیستم های مبتنی بر منابع ناهمگون (distributed )

این سیستم ها از تعدادی HIDS یا NIDS یا ترکیبی از این دو نوع به همراه یک سیستم مدیریت مرکزی تشکیل شده اند. بدین صورت که هر IDS ای که در شبکه موجود است، گزارش های خود را برای سیستم مدیریت مرکزی ارسال می کند.
سیستم مدیریت مرکزی وظیفه ی بررسی کردن گزارش های رسیده و تصمیم بر آگاه سازی مسئول IDS شبکه را بر عهده دارد. این سیستم مرکزی هم چنین وظیفه ی بروز رسانی بانک قوانین شناسایی هر یک از IDS های موجود در شبکه را عهده دار می باشد.

• جمع آوری داده ها هم از میزبان و هم از شبکه
• معماری توزیع شده (در جمع آوری و تحلیل)
• گروهی از IDS هایی که به صورت کنترل از راه دور فعالیت می کنند و گزارش ها را به قسمت مدیریت مرکز ارسال می نمایند.
• سیستم های مبتنی بر عامل (agent )
• مثال: AAFID ، DIDS ، EMERALD
• محصولات تجاری و کاربردی زیادی حاصل شدند.

 

منابع:

• امینی مرتضی، سیستم تشخیص نفوذ، مرکز امنیت داده و شبکه شریف، نیمسال اول ۹۱-۹۲
• حمیدی آلاله و ضیایی سیده مارال، معرفی سیستم های تشخیص نفوذ، آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد، تیر۸۸
• سجادی سید داوود و فتحی علیرضا و متقی مهدی، لینوکس، شبکه، امنیت، انتشارات ناقوس، ۲۰۱۱
• پیبراه امیرحسین، intrusion detection system
• پورمحسنی سجاد، بررسی و شناسایی سیستم های تشخیص نفوذ شبکه های کامپیوتری، دانشگاه علم و صنعت ایران
• • حسام.ح دانشجوی نرم افزار کامپیوتر، آموزش کلی IDS و روش های عبور از آن
  • (۴shir.com)
• David L. Prowse, CompTIA Security+ SY0-201 Cert Guide, 2011
• Ido Dubrawsky, CompTIA Security+ Certification Study Guide, 2009
• سایت wikipedia.org
• موتورهای جست وجوی google و duckduckgo