سیستم تشخیص نفوذ مبتنی بر میزبان

سیستم تشخیص نفوذ مبتنی بر میزبان نوعی از سیستم تشخیص نفوذ است که درون یک سیستم محاسباتی را نظارت و تحلیل می‌کند به‌طور مثال بسته‌هایی که بر روی واسط شبکه آن سیستم عبور می‌کند را بررسی می‌کند (همانند سیستم تشخیص نفوذ مبتنی بر شبکه).[۱] این اولین نوع از نرم‌افزار تشخیص نفوذ بود که جهت کامپیوترهای بزرگ که ارتباطات کمی با محیط بیرون داشتند طراحی گردید.[۲]

دید کلی

ویرایش

سیستم تشخیص نفوذ مبتنی بر میزبان (HIDS)تمام حالات و رفتارهای پویای سیستم کامپیوتری را نظارت می‌کند. سیستم تشخیص نفوذ مبتنی بر میزبان در کنار چنین فعالیت‌هایی مثل بازرسی پویای بسته‌هایی از شبکه که مقصد آن‌ها یک میزبان مشخص است تعیین می‌کند که چه برنامه‌هایی به چه منابعی دسترسی دارند؛ مثلاً مشخص می‌کند که یک پردازش‌گر لغت به‌طور تصادفی و نامعلوم شروع به تغییر دادن پایگاه داده رمز عبور یک سیستم کرده‌است. به‌طور مشابه ممکن است سیستم تشخیص نفوذ مبتنی بر میزبان به وضعیت سیستم توجه کرده مثلاً اطلاعاتی را که در حافظه رَم یا سیستم فایل یا فایل‌های لاگ ذخیره شده باشند را بررسی کرده و متوجه شود که محتوای این‌ها در معرض تغییر هستند. سیستم تشخیص نفوذ مبتنی بر میزبان را می‌توان به عنوان عاملی در نطر گرفت که هر شی یا شخص داخلی یا خارجی را که می‌خواهد سیاست‌های امنیتی سیستم را به چالش بکشد، تحت نظارت قرار می‌دهد.

مشاهده فعالیت‌های پویا

ویرایش

اکثر کاربران کامپیوتر با ابزارهایی مانند آنتی‌ویروس‌ها مواجه می‌شوند که فعالیت‌های پویای سیستم را تحت نظر قرار می‌دهند. در حالی که نرم‌افزارهای آنتی‌ویروس اغلب وضعیت سیستم را تحت‌نظر قرار می‌دهند و اکثر وقت خود را صرف این می‌کنند که بدانند چه کسی مشغول انجام چه کاری در درون کامپیوتر است و همچنین دسترسی بعضی از برنامه‌ها به منابع معین را کنترل می‌کنند. در این راستا وضعیت بسیار مبهم می‌شود زیرا اکثر ابزارها در عملکردهایشان همپوشانی دارند. سیستم‌های پیشگیری از نفوذ نوعی از نرم‌افزارهای تشخیص نفوذ مبتنی بر میزبان هستند که در مقابل حملات سرریز بافر که بر روی حافظه سیستم انجام می‌شوند محافظت ایجاد می‌کنند و به اجرای سیاست‌های امنیتی می‌پردازند.[۳]

مشاهده حالت

ویرایش

عملیات اصلی سیستم تشخیص نفوذ مبتنی بر میزبان به این بستگی دارد که آیا هکرها واقعاً ردپایی از خود بجا می‌گذارند یا نه. در حقیقت چنین هکرهایی می‌خواهند مالکیت یک سیستم کامپیوتری که مورد هک واقع شده‌است را به نام خود درآورند. آنها این کار را از طریق نصب کردن نرم‌افزارهایی انجام می‌دهند تا در آینده مالکیت و حق دسترسی به هر کاری که می‌خواهند انجام دهند را به‌دست آورند.

تکنیک

ویرایش

به‌طور کل سیستم تشخیص نفوذ مبتنی بر میزبان از پایگاه داده‌ای از اشیا سیستمی که باید تحت نظارت داشته باشد استفاده می‌کند. سیستم تشخیص نفوذ مبتنی بر میزبان باید نواحی ویژه‌ای از حافظه را که تغییر نکرده‌اند را تحت کنترل داشته باشد مثلاً جدول فراخوانی سیستمی در لینوکس یا ساختارهای جدولی مختلف در مایکروسافت ویندوز. یک سیستم تشخیص نفوذ مبتنی بر میزبان تمام مشخصه‌های یک شی را بخاطر می‌سپارد مثلاً سطوح دسترسی یا اندازه و تاریخ‌های تغییر آن‌ها. سپس برای هر کدام از محتواها یک چک‌سام از انواع مختلف مثلاً MD5 یا SHA1 تولید می‌کند و این اطلاعات جهت مقایسه‌های آتی در یک پایگاه داده امن ذخیره می‌شود.

عملیات

ویرایش

در زمان نصب و هر موقع که یک شی تحت نظارت به صورت قانونی تغییر می‌کند یک سیستم تشخیص نفوذ مبتنی بر میزبان باید به وسیلهٔ اسکن کردن اشیا مرتبط عملیات چک‌سام پایگاه داده را آغاز نماید. افرادی که مسوول برقراری امنیت در سیستم‌های کامپیوتری هستند باید این عملیات را شدیداً کنترل کنند تا مانع از تغییر غیرقانونی پایگاه داده‌ها بوسله هکرها شوند. چنین عملیات‌هایی زمان بسیار طولانی نیاز دارد و همچنین نیازمند استفاده از رمزنگاری‌هایی جهت تحت نظارت قرار دادن پایگاه داده‌هایی از چک‌سام‌ها می‌باشد.

محافظت سیستم تشخیص نفوذ مبتنی بر میزبان

ویرایش

سیستم‌های تشخیص نفوذ مبتنی بر میزبان به طول‌های بزرگی جهت جلوگیری از تغییر پایگاه داده‌های اشیا و چک‌سام‌ها نیاز دارد و به عنوان هر نوع دستکاری گزارش می‌شود. بعد از همه این‌ها اگر هکرها در تغییر دادن اشیا تحت نظارت سیستم‌های تشخیص نفوذ مبتنی بر میزبان موفق بودند هیچ چیزی نمی‌تواند جلودار تغییر دادن خود سیستم‌های تشخیص نفوذ مبتنی بر میزبان شوند. مگر اینکه مدیران امنیتی اقدامات مناسبی را انجام دهند؛ مثلاً تعداد زیادی از ویروس‌ها و کرم‌ها می‌توانند به تغییر ابزارهای ضدویروس بپردازند.

منابع

ویرایش

پیوند به بیرون

ویرایش
  1. خطای یادکرد: خطای یادکرد:برچسب <ref>‎ غیرمجاز؛ متنی برای یادکردهای با نام newman2009 وارد نشده است. (صفحهٔ راهنما را مطالعه کنید.).
  2. خطای یادکرد: خطای یادکرد:برچسب <ref>‎ غیرمجاز؛ متنی برای یادکردهای با نام cn31_8_805 وارد نشده است. (صفحهٔ راهنما را مطالعه کنید.).
  3. خطای یادکرد: خطای یادکرد:برچسب <ref>‎ غیرمجاز؛ متنی برای یادکردهای با نام cox_gerg2004 وارد نشده است. (صفحهٔ راهنما را مطالعه کنید.).