سامانه تشخیص نفوذ: تفاوت میان نسخهها
محتوای حذفشده محتوای افزودهشده
جز ویکیسازی رباتیک (درخواست کاربر:HesamShokoohi)(۷.۶) >سامانه تشخیص نفوذ |
Yamaha5Bot (بحث | مشارکتها) جز اصلاح و تمیزکاری مقاله، + ماژول ابرابزار با استفاده از AWB |
||
خط ۳:
'''سامانههای تشخیص نفوذ (Intrusion Detection System)''' وظیفهٔ شناسایی و تشخیص هر گونه استفادهٔ غیرمجاز به سیستم، سوء استفاده و یا آسیب رسانی توسط هر دو دستهٔ کاربران داخلی و خارجی را بر عهده دارند. تشخیص و جلوگیری از نفوذ امروزه به عنوان یکی از مکانیزمهای اصلی در برآوردن امنیت شبکهها و سیستمهای رایانهای مطرح است و عمومأ در کنار دیوارههای آتش و به صورت مکمل امنیتی برای آنها مورد استفاده قرار میگیرند.
سامانههای تشخیص نفوذ به صورت سامانههای نرمافزاری و
به طور کلی سه عملکرد اصلی IDS عبارت است از: نظارت و ارزیابی، کشف و واکنش. بر همین اساس هر IDS را میتوان بر اساس روشهای تشخیص نفوذ، معماری و انواع پاسخ به نفوذ
== روشهای تشخیص نفوذ ==
خط ۱۱:
به منظور مقابله با نفوذگران به سیستمها و شبکههای رایانهای، روشهای متعددی تحت عنوان روشهای تشخیص نفوذ ایجاد گردیدهاست که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکهٔ رایانهای را بر عهده دارد. روشهای تشخیص مورد استفاده در سامانههای تشخیص نفوذ به دو دسته تقسیم میشوند:
# روش [[تشخیص رفتار
# روش [[تشخیص سوءاستفاده]] یا تشخیص مبتنی بر امضاء(misuse detection)
=== روش تشخیص رفتار غیرعادی ===
در این روش، یک نما از رفتار عادی ایجاد میشود. یک ناهنجاری ممکن است نشان دهندهٔ یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل [[شبکههای عصبی]]، تکنیکهای [[یادگیری ماشین]] و حتی سیستمهای ایمنی زیستی استفاده میشود.
برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آنها پیدا کرد. رفتارهایی که از این الگوها پیروی میکنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده میشود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع میپیوندد، غیرعادی فرض میشود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا رایانهای که در ساعت ۲:۰۰ بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد میتواند به عنوان یک رفتار
=== روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء ===
در این تکنیک که معمولاًبا نام تشخیص مبتنی بر امضاء شناخته شدهاست، الگوهای نفوذ از پیش ساخته شده (امضاء) به صورت قانون نگهداری میشوند. به طوری که هر الگو انواع متفاوتی از یک نفوذ خاص را
== معماری سامانههای تشخیص نفوذ ==
معماریهای مختلف سامانه تشخیص نفوذ عبارتند از:
# سامانه تشخیص نفوذ مبتنی بر میزبان (HIDS)
# سامانه تشخیص نفوذ مبتنی بر شبکه (NIDS)
# سامانه تشخیص نفوذ توزیع شده (DIDS)
=== سامانه تشخیص نفوذ مبتنی بر میزبان ===
این سیستم، شناسایی و تشخیص فعالیتهای غیرمجاز بر روی رایانه میزبان را بر عهده دارد. سامانه تشخیص نفوذ مبتنی بر میزبان میتواند حملات و تهدیداتی را روی سیستمهای بحرانی تشخیص دهد (شامل دسترسی به فایلها، اسبهای تروا و …) که توسط سامانههای تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند. اچآیدیاس (HIDS) فقط از میزبانهایی که روی آنها مستقر است محافظت میکند و کارت واسط شبکهٔ (NIC) آنها به صورت پیش فرض در حالت باقاعده ۵ کار میکند. حالت باقاعده در بعضی از موارد میتواند مفید باشد چون همهٔ کارتهای واسط شبکه قابلیت [[حالت بی قاعده]] را ندارند. اچآیدیاسها به واسطهٔ مکان شان روی میزبانی که باید نظارت شود، از همهٔ انواع اطلاعات محلی اضافی با پیادهسازیهای امنیتی (شامل فراخوانیهای سیستمی، تغییرات فایلهای سیستمی و اتصالات سیستم) مطلع میباشند. این مسئله هنگام ترکیب با ارتباطات شبکهای، دادههای خوبی را برای جستجوی رویدادهای ممکن فراهم میکند.
=== سامانه تشخیص نفوذ مبتنی بر شبکه ===
شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستمهای بحرانی، به عهدهٔ سامانه تشخیص نفوذ مبتنی بر شبکهاست. انآیدیاسها (NIDS)، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بستهها و پروتکلهای ارتباطات فعال، به جستجوی تلاشهایی که برای حمله صورت میگیرد میپردازند. به عبارت دیگر معیار انآیدیاسها، تنها بستههایی است که بر روی شبکهها رد و بدل میگردد. از آن جایی که انآیدیاسها تشخیص را به یک سیستم منفرد محدود نمیکنند، عملاً گستردگی بیش تری داشته و فرایند تشخیص را به صورت توزیع شده انجام میدهند. با این وجود این سیستمها در
=== سامانه تشخیص نفوذ توزیع شده
این سیستمها از چندین NIDS یا HIDS
== روشهای برخورد و پاسخ به نفوذ ==
قابلیت دیگر برخی از IDSها این است که با در دست داشتن اطلاعات وقایع و تجزیه و تحلیل الگوهای حملات به آنها پاسخ
=== پاسخ غیرفعال در سامانه تشخیص نفوذ ===
این IDSها، به مدیر امنیتی سیستم اطلاعاتی دربارهٔ حمله توسط تلفن همراه، نامهٔ الکترونیکی، پیام روی صفحهٔ رایانه یا پیامی برای کنسول SNMP میدهند. این اطلاعات شامل موارد زیر است:
* آدرس IP
* آدرس IP مقصد حمله
*نتیجهٔ حمله
* ابزار یا مکانیزمهای مورد استفاده برای مهار حمله
* گزارشها و اتصالها حملههای سیستم و رویدادهای مربوطه
=== پاسخ فعال در سامانه تشخیص نفوذ ===
سامانههای تشخیص نفوذ از لحظهای که به کار میافتند، ضمن به دست آوردن اطلاعات مربوط به رخدادها و تجزیه و تحلیل آنها، اگر نشانهایی دال بر وقوع یک حمله را تشخیص دهند، پاسخ لازم را در قبال آن به نحوههای مختلف تولید میکنند. گاهی این پاسخ به صورت یک هشدار به مدیر شبکهاست و گاهی نوشتن یک اطلاع در فایل رخدادها و یا به صورت تنظیم مجدد [[دیوارهٔ آتش]] و یا دستگاههای دیگری در شبکهاست.
IDSهای فعال هر نفوذی را که تشخیص دهد به طور خودکار پاسخ میدهند و خود به سه دسته تقسیم میشوند:
# پاسخ فعال براساس جمعآوری اطلاعات اضافی
# پاسخ فعال از نوع تغییر محیط
# پاسخ فعال از نوع عکس العمل در مقابل حمله
== سامانههای تشخیص نفوذ رایگان ==
* [[AIDE (software)|AIDE]]
سطر ۵۸ ⟵ ۶۶:
{{پانویس}}
*[http://www.intrusiondetectionsystem.org/ Intrusion Detection System]
* معرفی سامانههای تشخیص نفوذ (قسمت اول)-آلاله حمیدی وسیده مارال ضیایی - آزمایشگاه آپا [[دانشگاه فردوسی]] مشهد
{{بدافزار}}
|