سامانه تشخیص نفوذ: تفاوت میان نسخه‌ها

'''سامانه‌های تشخیص نفوذ (Intrusion Detection System)''' وظیفهٔ شناسایی و تشخیص هر گونه استفادهٔ غیرمجاز به سیستم، سوء استفاده یا آسیب رسانیآسیب‌رسانی توسط هر دو دستهٔ کاربران داخلی و خارجی را بر عهده دارند. تشخیص و جلوگیری از نفوذ امروزه به عنوان یکی از مکانیزم‌های اصلی در برآوردن امنیت شبکه‌ها و سیستم‌های رایانه‌ای مطرح است و عمومأ در کنار دیواره‌های آتش و به صورت مکمل امنیتی برای آن‌ها مورد استفاده قرار می‌گیرند.

به طوربه‌طور کلی سه عملکرد اصلی IDS عبارت است از: نظارت و ارزیابی، کشف و واکنش. بر همین اساس هر IDS را می‌توان بر اساس روشهایروش‌های تشخیص نفوذ، معماری و انواع پاسخ به نفوذ دسته‌بندی کرد.

به منظور مقابله با نفوذگران به سیستم‌ها و شبکه‌های رایانه‌ای، روش‌های متعددی تحت عنوان روشهایروش‌های تشخیص نفوذ ایجاد گردیده‌است که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکهٔ رایانه‌ای را بر عهده دارد. روش‌های تشخیص مورد استفاده در سامانه‌های تشخیص نفوذ به دو دسته تقسیم می‌شوند:

در این تکنیک که معمولاًبا نام تشخیص مبتنی بر امضاء شناخته شده‌است، الگوهای نفوذ از پیش ساختهپیش‌ساخته شده (امضاء) به صورت قانون نگهداری می‌شوند. به طوری کهبه‌طوری‌که هر الگو انواع متفاوتی از یک نفوذ خاص را دربر گرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام می‌شود. در این روش‌ها، معمولاً تشخیص دهنده دارای پایگاه داده‌ای از امضاءها یا الگوهای حمله‌است و سعی می‌کند با بررسی ترافیک شبکه، الگوهای مشابه با آنچه را که در پایگاه دادهٔ خود نگهداری می‌کند، بیابد. این دسته از روش‌ها تنها قادر به تشخیص نفوذهای شناخته شده می‌باشند و در صورت بروز حملات جدید در سطح شبکه، نمی‌توانند آن‌ها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سامانه تشخیص نفوذ اضافه کند. از مزایای این روش دقت در تشخیص نفوذهایی است که الگوی آن‌ها عیناً به سیستم داده شده‌است.

این سیستم، شناسایی و تشخیص فعالیت‌های غیرمجاز بر روی رایانه میزبان را بر عهده دارد. سامانه تشخیص نفوذ مبتنی بر میزبان می‌تواند حملات و تهدیداتی را روی سیستم‌های بحرانی تشخیص دهد (شامل دسترسی به فایل‌ها، اسب‌های تروا و …) که توسط سامانه‌های تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند. اچ‌آی‌دی‌اس (HIDS) فقط از میزبان‌هایی که روی آن‌ها مستقر است محافظت می‌کند و کارت واسط شبکهٔ (NIC) آن‌ها به صورت پیش فرضپیش‌فرض در حالت باقاعده ۵ کار می‌کند. حالت باقاعده در بعضی از موارد می‌تواند مفید باشد چون همهٔ کارت‌های واسط شبکه قابلیت [[حالت بی قاعده]] را ندارند. اچ‌آی‌دی‌اس‌ها به واسطهٔ مکان شان روی میزبانی که باید نظارت شود، از همهٔ انواع اطلاعات محلی اضافی با پیاده‌سازی‌های امنیتی (شامل فراخوانی‌های سیستمی، تغییرات فایل‌های سیستمی و اتصالات سیستم) مطلع می‌باشند. این مسئله هنگام ترکیب با ارتباطات شبکه‌ای، داده‌های خوبی را برای جستجوی رویدادهای ممکن فراهم می‌کند.

شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستمهایسیستم‌های بحرانی، به عهدهٔ سامانه تشخیص نفوذ مبتنی بر شبکه‌است. ان‌آی‌دی‌اس‌ها (NIDS)، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بسته‌ها و پروتکل‌های ارتباطات فعال، به جستجوی تلاش‌هایی که برای حمله صورت می‌گیرد می‌پردازند. به عبارت دیگر معیار ان‌آی‌دی‌اس‌ها، تنها بسته‌هایی است که بر روی شبکه‌ها رد و بدل می‌گردد. از آن جایی که ان‌آی‌دی‌اس‌ها تشخیص را به یک سیستم منفرد محدود نمی‌کنند، عملاً گستردگی بیش تریبیشتری داشته و فرایند تشخیص را به صورت توزیع شده انجام می‌دهند. با این وجود این سیستم‌ها در رؤیایی با بسته‌های رمزشده یا شبکه‌هایی با سرعت و ترافیک بالاکارایی خود را از دست می‌دهند.

IDSهای فعال هر نفوذی را که تشخیص دهد به طوربه‌طور خودکار پاسخ می‌دهند و خود به سه دسته تقسیم می‌شوند: