بخشی از مقاله
بررسی IDS و حملات فریب برروی آن
چکیده
برای ایجاد امنیت کامل در یک سیستم کامپیوتری، علاوه بر دیوارههای آتش و هانی پات و دیگر تجهیزات جلوگیری از نفوذ، سیستمهای دیگری (IDS) مورد نیاز می باشند. هدف از تشخیص نفوذ نمایش، بررسی و ارائه گزارش از فعالیت شبکه به نام سیستم های تشخیص نفوذ است. نحوه کار سیستم تشخیص نفوذ به این صورت است که مانند یک ابزار شبکه اگر نشاانه هاایی از یک حمله یا رفتار مشکوک را متوجه شود، ترافیک شبکه را مانیتور کرده و مدیر شبکه را مطلع می سازد.
به سرعت پس از اینکه استفاده از این تکنولوژی در شرکتها و سازمانهای مختلف رواج یافت، نفوذگران شروع به ارائه انواع روشهای مختلف برای حمله به سیستمهای تشخیص نفوذ کردند. حملات زیادی برروی سیستم تشخیص نفوذ صورت گرفته که از جملهی آنها، حملات فریب است که به منظور فریب دادن و دور زدن یک سیستم تشخیص نفوذ صورت میگیرد. در این مقاله ماابتدا IDS و نحوه کارش را بررسی کرده، سپس حملات فریب را مورد ارزیابی قرار می دهیم.
واژههای کلیدی: سیستم تشخیص نفوذ، IDS، حملات فریب، Evasion، Attack
1
مقدمه
در دنیای امروز، کامپیوتر و شبکه های کامپیوتری متصل به اینترنت نقش عمده ای در ارتباطات و انتقال اطلاعات ایفا می کنند. در این بین افراد سودجو با دسترسی به اطلاعات مهم مراکز خاص یا اطلاعات افراد دیگر و با قصد اعمال نفوذ یا اعمال فشار و یا حتی به هم ریختن نظم سیستم ها، عمل نفوذ به سیستم های کامپیوتری را در پیش گرفته اند و امنیت آنها را به خطر می اندازند. بنابراین لزوم حفظ امنیت اطلاعاتی و حفظ کارآیی در شبکه های کامپیوتری که با دنیای خارج ارتباط دارند، کاملأ محسوس است.
از آنجا که از نظر تکنیکی ایجاد سیستم های کامپیوتری (سخت افزار و نرم افزار) بدون نقاط ضعف و شکست امنیتی عملا غیر ممکن است، تشخیص نفوذ در تحقیقات سیستم های کامپیوتری با اهمیت خاصی دنبال می شود. سیستم های تشخیص نفوذ برای کمک به مدیران امنیتی سیستم در جهت کشف نفوذ و حمله به کار گرفته شده اند. هدف یک سیستم تشخیص نفوذ جلوگیری از حمله نیست و تنها کشف و احتمالأ شناسایی حملات و تشخیص اشکالات امنیتی در سیستم یا شبکه های کامپیوتری و اعلام آن به مدیر سیستم است. عمومأ سیستم های تشخیص نفوذ در کنار دیواره های آتش و به صورت مکمل امنیتی برای آنها مورد استفاده قرار می گیرند.[1]
سیستم های تشخیص نفوذ وظیفه ی شناسایی و تشخیص هرگونه استفاده ی غیرمجاز از سیستم و سوء استفاده و یا آسیب رسانی توسط هر دو دسته ی کاربران داخلی و خارجی را بر عهده دارند. سیستم های تشخیص نفوذ به صورت سیستم های نرم افزاری و سخت افزاری ایجاد شده و هر کدام مزایا و معایب خاص خود را دارند. نفوذگران سعی دارند که از طرق مختلف سیستم تشخیص نفوذ را فریب داده و به وسیله ی حملاتی که به حملات فریب شناخته می شوند بتواند مقاصد خود را برروی سیستم قربانی اجرا کنند.[2]
بخش بندی این مقاله به شرح زیر است. ما IDS را در بخش 1 توصیف، و در بخش 2، روش های IDS را طبقه بندی میکنیم. در بخش 3 رهیافت های IDS را معرفی میکنیم. در بخش 4 حملات فریب بر روی IDS را معرفی می کنیم، سپس به ارزیابی حملات می پردازیم. در انتها نیز نتیجه گیری و چالش های آینده را مطرح می کنیم.
IDS .1
طی دهه های گذشته اینترنت و سیستم های کامپیوتر مشکلات امنیتی متعددی را با توجه به استفاده فراوان از شبکه مطرح کرده اند. طبق آمار گروه پاسخگویی حوادث رایانهای (CERT)، میزان نفوذ سال به سال در حال افزایش است.[3] هر گونه نفوذ مخرب و یا حمله به آسیب پذیری های شبکه، کامپیوتر و یا سیستم های اطلاعاتی ممکن است منجر به حوادث سنگین و نقض سیاست های امنیتی کامپیوتر، به عنوان مثال، محرمانه بودن، یکپارچگی و در دسترس بودن((CIA شود. تا به امروز همچنان تهدید در شبکه و امنیت اطلاعات به عنوان موضوع پژوهش قابل ملاحظه می باشد. اگر چه تعدادی از مقالات موجود با هدف بررسی سیستم تشخیص نفوذ((IDS و طبقه بندی آن وجود دارد، ما برای بررسی جامع سعی می کنیم تصویری نظام مند (سیستماتیک)، وابسته به معماری و معاصر ارائه دهیم.
2
ابتدا به تمایزی روشن در مورد نفوذ، تشخیص نفوذ، سیستم تشخیص نفوذ (IDS) و سیستم پیشگیری از نفوذ (IPS) می پردازیم. موسسه ملی فناوری و استانداردها((NIST نفوذ را به عنوان تلاش برای به اختیار گرفتن CIA و یا برای دور زدن مکانیزم های امنیتی یک کامپیوتر یا شبکه مطرح میکند و تشخیص نفوذ را روند نظارت بر حوادثی که در سیستم کامپیوتری یا شبکه رخ می دهد، و تجزیه و تحلیل آنها را به عنوان نشانه هایی از نفوذ توصیف می کند.[4] به خصوص، شبکه های بیسیم که اخیرا گسترش یافته اند، برای حمله و نفوذ بسیار آسان تر از شبکه سیمی هستند. بنابراین، ما سیستم تشخیص نفوذ (IDS) را به فن آوری مبتنی بر بیسیم و انواع دیگر فن آوری دسته بندی میکنیم. سیستم تشخیص نفوذ سیستمی نرم افزاری و یا سخت افزاری می باشد که به طور خودکار فرآیند تشخیص نفوذ را انجام می دهد. افزون بر این، سیستم پیشگیری از نفوذ (IPS) سیستمی است که دارای تمامی قابلیتهای سیستم تشخیص نفوذ (IDS) میباشد، و برای جلوگیری از حوادث امکان پذیر تلاش میکند. در تعدادی از مقالات، اصطلاح سیستم تشخیص نفوذ و پیشگیری (IDPS) و پیشگیری از نفوذ (IPS) مترادف هم هستند، که در جامعه امنیتی از اصطلاح IDPS به ندرت در استفاده می شود. در این مقاله، ما بر بررسی و مقایسه میان آنها تمرکز میکنیم.[5]
.2 متد های تشخیص
روش های تشخیص نفوذ به عنوان سه دسته عمده طبقه بندی می شوند:[6] امضا مبتنی بر تشخیص (SD)، تشخیص بر اساس ناهنجاری (AD) و وضعیت کامل تجزیه و تحلیل پروتکل .(SPA) جدول 1 مزایا و معایب سه روش تشخیص را نشان می دهد. توصیف مفهومی آنها به شرح زیر است: تشخیص مبتنی بر امضا (SD)ــ امضا یک الگو یا رشته ای که متناظر به یک حمله شناخته شده و یا تهدید است. SD روندی به منظور مقایسه الگوها در برابر رویدادهای دستگیر شده برای تشخیص نفوذهای امکان پذیر، می باشد. به دلیل استفاده از دانش انباشته شده توسط حملات خاص و آسیب پذیری های سیستم، SD نیز به عنوان دانش مبتنی بر تشخیص و یا تشخیص سوء استفاده شناخته میشود. تشخیص مبتنی بر آنومالی (AD)ــ ناهنجاری انحراف به یک رفتار شناخته میشود، پروفایل ها نشان دهنده رفتارهای طبیعی و یا رفتارهای قابل انتظار به دست آمده از نظارت بر فعالیت های منظم، اتصالات شبکه، میزبان ها و یا کاربران در طی یک دوره از زمان باشد. پروفایل ها میتوانند به صورت استاتیک و یا پویا باشند، و توسعه یافته برای بسیاری از صفات، به عنوان مثال، ورود ناموفق، استفاده از پردازنده، تعداد ایمیل های ارسال شده، و غیره. پس از آن، AD پروفایل های عادی(نرمال) را با رویداد های مشاهده شده برای حملات مهم شناخته شده مقایسه میکند. AD در برخی از مقالات تشخیص مبتنی بر رفتار نیز نامیده می شود. برخی از نمونه های AD، عبارت اند از: تغییر ظاهر، نفوذ کاربر قانونی،عدم پذیرش خدمات( Denial-of-Service )، و غیره
تجزیه و تحلیل پروتکل وضعیت کامل (SPA)ــ وضعیت کامل در SPA نشان می دهد که IDS میتواند حالات پروتکل بفهمد و ردیابی کند (به عنوان مثال، جفت سازی درخواست ها با پاسخ ها). فرآیند فکری SPA به نظر می رسد مانند AD ها باشد،ولیآنها اساسا متفاوتند. AD از شبکه یا میزبان خاص پروفایل های از قبل بارگذاری شده اقتباس شده است، در حالی که SPA به عرضه کننده توسعه پروفایل های عمومی برای پروتکل های ویژه بستگی دارد. به طور کلی، مدل های پروتکل شبکه در SPA در اصل بر اساس استانداردهای پروتکل از سازمان های بین المللی استاندارد می باشند، به عنوان مثال،نیروی ضربت مهندسی اینترنت [7] .(IETF)
3
جدول (1) مزایا و معایب روش های تشخیص نفوذ
مبتنی بر امضا (مبتنی بر دانش) مبتنی بر آنومالی (مبتنی بر رفتار) تجزیه و تحلیل پروتکل وضعیت
کامل
مزایا
ساده ترین و موثرترین روش برای موثر برای تشخیص آسیب پذیری های فهمیدن و ردیابی حالات پروتکل.
تشخیص حملات شناخته شده است. جدید و پیش بینی نشده. تشخیص دنباله ی غیر منتظره از
جزئیات متنی تجزیه و تحلیل. وابستگی کمتری به سیستم عامل دارد. دستورات.
تشخیص سوء استفاده از حق ویژه را
تهسیل میکند.
معایب
بی تاثیر برای تشخیص حملات ضعف دقت پروفایل ها به دلیل منابع برای ردیابی و معاینه وضعیت
ناشناخته است، حملات فرار از رویدادهای مشاهده شده که به طور پروتکل مصرف می شوند.
پرداخت، و انواع حملات شناخته شده مداوم تغییر کرده است. قادر به بازرسی حملات با ظاهری شبیه
است. در دسترس نبودن جریان بازسازی رفتار خوش خیم پروتکل نمی باشد.
فهم پایینی برای حالات و پروتکل ها. رفتار پروفایل. ممکن است با سیستم عاملهای اختصاص
به روز نگه داشتن امضا / الگوها سخت مشکل برای به کار انداختن هشدار در داده شده و یا AP های ناسازگار باشد.
است. زمان مناسب.
وقت گیر برای حفظ دانش.
.3 رهیافتهای تشخیص
به طور مرسوم، افراد روشهای تشخیص نفوذ را از دو دیدگاه عمده مورد مطالعه قرار می دهند، تشخیص ناهنجاری و تشخیص سوء استفاده، اما هیچ تفاوت قابل توجهی برای ویژگی های آنها وجود ندارد.[5] مطرح کردند، یک طبقه بندی به تقسیم این روش ها به سه زیر شاخه از جمله روش محاسبات وابسته، هوش مصنوعی و مفاهیم زیست شناختی است. با این حال، چنین طبقه بندی برای دیدن کل خواص روش های تشخیص بیش از حد سخت میباشد. در حالی که عدم نمایش جزئیات بیشتر برای روش های تشخیص وجود دارد، ما یک طبقه بندی متشکل از پنج زیر کلاس با یک چشم انداز عمیق در ویژگی های آنها ارائه می کنیم: مبتنی بر آمار، مبتنی بر الگو، مبتنی بر قانون، مبتنی بر حالت و میتنی بر اکتشاف. بر اساس این دیدگاه، ما با دقت روش های تشخیص نفوذ فعلی را در جدول 2 مرتب کردیم.