سامانه تشخیص نفوذ: تفاوت میان نسخهها
محتوای حذفشده محتوای افزودهشده
جز سامانه تشخیص رخنه را به سامانه تشخیص نفوذ منتقل کرد: طبق بحث |
بدون خلاصۀ ویرایش |
||
خط ۱:
{{ویکی سازی}}
'''سامانههای تشخیص
سامانههای تشخیص
به طور کلی سه عملکرد اصلی IDS عبارت است از: نظارت و ارزیابی، کشف و واکنش. بر همین اساس هر IDS را میتوان بر اساس روشهای تشخیص نفوذ، معماری و انواع پاسخ به نفوذ دسته بندی کرد.
خط ۹:
نفوذگرها عموماً از عیوب نرمافزاری، شکستن کلمات رمز، شنود میزان تردد در شبکه و نقاط ضعف طراحی در شبکه، سرویسها و یا کامپیوترهای شبکه برای نفوذ به سیستمها و شبکههای رایانهای بهره میبرند.
به منظور مقابله با نفوذگران به سیستمها و شبکههای رایانهای، روشهای متعددی تحت عنوان روشهای تشخیص نفوذ ایجاد گردیدهاست که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکهٔ رایانهای را بر عهده دارد. روشهای تشخیص مورد استفاده در سامانههای تشخیص
#روش تشخیص رفتار غیر عادی (anomaly detection)
# روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء(misuse detection)
خط ۱۶:
برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آنها پیدا کرد. رفتارهایی که از این الگوها پیروی میکنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده میشود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع میپیوندد، غیرعادی فرض میشود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا رایانهای که در ساعت ۲:۰۰ بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد میتواند به عنوان یک رفتار غیر عادی در نظر گرفته شود.
===روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء===
در این تکنیک که معمولاًبا نام تشخیص مبتنی بر امضاء شناخته شدهاست، الگوهای نفوذ از پیش ساخته شده (امضاء) به صورت قانون نگهداری میشوند. به طوری که هر الگو انواع متفاوتی از یک نفوذ خاص را در بر گرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام میشود. در این روشها، معمولاً تشخیص دهنده دارای پایگاه دادهای از امضاءها یا الگوهای حملهاست و سعی میکند با بررسی ترافیک شبکه، الگوهای مشابه با آن چه را که در پایگاه دادهٔ خود نگهداری میکند، بیابد. این دسته از روشها تنها قادر به تشخیص نفوذهای شناخته شده میباشند و در صورت بروز حملات جدید در سطح شبکه، نمیتوانند آنها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سامانه تشخیص
==معماری سامانههای تشخیص
معماریهای مختلف سامانه تشخیص
#سامانه تشخیص
# سامانه تشخیص
#سامانه تشخیص
===سامانه تشخیص
این سیستم، شناسایی و تشخیص فعالیتهای غیرمجاز بر روی رایانه میزبان را بر عهده دارد. سامانه تشخیص
===سامانه تشخیص
شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستمهای بحرانی، به عهدهٔ سامانه تشخیص
===سامانه تشخیص
این سیستمها از چندین NIDS یا HIDS یا ترکیبی از این دو نوع همراه یک ایستگاه مدیریت مرکزی تشکیل شدهاست. بدین صورت که هر IDS که در شبکه موجود است گزارشهای خود را برای ایستگاه مدیریت مرکزی ارسال میکند. ایستگاه مرکزی وظیفه بررسی گزارشهای رسیده و آگاه سازی مسئول امنیتی سیستم را برعهده دارد. این ایستگاه مرکزی همچنین وظیفه به روزرسانی پایگاه قوانین تشخیص هر یک از IDSهای موجود در شبکه را برعهده دارد. اطلاعات در ایستگاه مدیریت مرکزی ذخیره میشود. شبکه بین انآیدیاسها با سامانه مدیریت مرکزی میتواند خصوصی باشد و یا این که از زیرساخت موجود برای ارسال دادهها استفاده شود. وقتی از شبکهٔ موجود برای ارسال دادههای مدیریتی استفاده شود، امنیتهای اضافی به وسیلهٔ رمزنگاری یا فناوری شبکههای خصوصی مجازی(VPN)حاصل میگردد.
==روشهای برخورد و پاسخ به نفوذ==
قابلیت دیگر برخی از IDSها این است که با در دست داشتن اطلاعات وقایع و تجزیه و تحلیل الگوهای حملات به آنها پاسخ میدهد. پاسخ در IDSها به دو شکل غیر فعال و فعال تقسیم میشوند که نوع غیر فعال به پاسخ برون خطی نیز معروف است.
===پاسخ غیرفعال در سامانه تشخیص
این IDSها، به مدیر امنیتی سیستم اطلاعاتی دربارهٔ حمله توسط تلفن همراه، نامهٔ الکترونیکی، پیام روی صفحهٔ رایانه یا پیامی برای کنسول SNMP میدهند. این اطلاعات شامل موارد زیر است:
*آدرس IP منبع حمله
خط ۳۸:
*ابزار یا مکانیزمهای مورد استفاده برای مهار حمله
*گزارشها و اتصالها حملههای سیستم و رویدادهای مربوطه
===پاسخ فعال در سامانه تشخیص
سامانههای تشخیص
IDSهای فعال هر نفوذی را که تشخیص دهد به طور خودکار پاسخ میدهند و خود به سه دسته تقسیم میشوند:
#پاسخ فعال براساس جمعآوری اطلاعات اضافی
#پاسخ فعال از نوع تغییر محیط
#پاسخ فعال از نوع عکس العمل در مقابل حمله
==سامانههای تشخیص
* [[AIDE (software)|AIDE]]
* [[Bro (software)|Bro NIDS]]
خط ۵۵:
==منابع==
*[http://www.intrusiondetectionsystem.org/ Intrusion Detection System]
*معرفی سامانههای تشخیص
[[رده:سامانههای تشخیص رخنه]]
|