بخشی از مقاله
چکیده
در کنار رشد روزافزون فناوریهای اطلاعات و ارتباطات، مقولهی امنیت و شناسایی رفتارهای پرخطر در این فناوریها بسیار مهم و محل توجه بسیار زیاد همه کشورها قرار گرفته است. ازاینرو و با توجه به اشتراک گذاری اطلاعات، تشخیصدسترسی غیرمجاز و همچنین نفوذ در شبکه، ایجاد امنیت لازم در این موضوع تبدیل به یکی از اصلی ترین نگرانی های مدیران شبکه شده است.
مقدمه
امروزه یکی از مهم ترین مکانیزم های ایجاد امنیت شبکه ها
æ سیستم های کامپیوتری، تشخیص و جلوگیری از نفوذ IPS1 می باشد . این ایده برای اولین بار تنها مورد استقبال مراکز نظامی
æ محیط های تجاری مهم قرار گرفت و دلیل آن بار پردازشی فراوان آن سیستم ها بوده است. امروزه با پیشرفتی که در طراحی
æ تولید سخت افزار ها و مدارهای مجتمع با کاربرد خاص و همچنین توسعه چشمگیری که در معماری های نوین در طراحی
æ تولید نرم افزارها ایجاد شده، امکان استفاده از IDS و IPS برای طیف گسترده ای از سیستم های کامپیوتری امکان پذیر شده است.
در گذشته سیستم های تشخیص نفوذ به عنوان سیستم هایی مجزا در نظر گرفته می شد در حالی که امروزه این سیستم ها به عنوان زیرسیستم هایی از تجهیزات شبکه، سیستم عامل ها و حتی سرویس ها می شناسیم. در این مقاله هدف بررسی این تکنولوژی به عنوان یکی از راه های مطمئن در تامین امنیت و مدیریت سیستم های کامپیوتری در حال وآینده ای نزدیک است. حفاظت داراییهای اطلاعاتی یک سازمان، همانقدر که نیازمند وجود پرسنل خبره و آگاه نسبت به ملاحظات امنیتی است، به وجود کنترلهای فنی و راهکارهای مبتنی بر فناوری نیز نیازمند است.
راهکارهای فنی که با استفاده از سیاستها و دستورالعملهای مناسب، پیادهسازی شوند، جزء اصلی برنامه امنیت اطلاعات سازمان ها به شمار میروند. در این میان سیستم های پیشگیری و تشخیص نفوذ در انواع گوناگون و با بهره گیری از تکنیک ها و ابزارهای مختلف، تا حد زیادی می توانند آسیب پذیری های امنیتی سازمان ها را پوشش داده و مخاطرات امنیتی گریبانگیر سیستم های اطلاعاتی آنها را کاهش دهند. درک چندین واژه فنی برای تشریح این فناوری و همچنین آسان سازی مفاهیم در این قسمت ضروری است ، که در ادامه به تشریح این واژه ها می پردازیم:
فعالیت: فعالیت در حقیقت یک عمل یا رویداد است که بر روی منبع داده انجام می شود ، این عمل برای انجام دهنده آن جذاب است و برای وی کارایی دارد. فعالیت می تواند هم درست باشد و هم نادرست ، بدین معنا که فعالیت های مشکوک می توانند مخرب بوده و باعث به خطر افتادن منبع داده شود .
رئیس: رئیس در حقیقت شخصی است که مسئول تدوین بیانیه های امنیتی مربوط به سازمان است . این اشخاص مسئول تصمیم گیری در خصوص شیوه پیاده سازی و انجام تنظیمات مربوط به IDS ها هستند .مدیر بر اساس سطح هشدارها ، تاریخچه لاگ ها و قابلیت های مانیتورینگ تصمیم گیری2 ها را انجام می دهد. همچنین آنها مسئول تصمیم گیری در خصوص چگونگی پاسخگویی به نفوذ نیز هستند و اطمینان از موثر بودن پاسخگویی به حملات نیز هستند.
هشدار: یک هشدار پیامی است که از طریق سیستم آنالیزگر برای اعلام وقوع یک رویداد مشکوک صادر می شود .این هشدار ضمن اینکه اطلاعاتی در خصوص نوع فعالیت انجام شده ارائه می دهد ، دقیقا رویدادی که اتفاق افتاده است را نیز شرح می دهد.
تحلیل کننده: تحلیل کننده مولفه یا فرآیندی است که داده های بدست آمده از طریق حسگر3 را تجزیه و تحلیل می کند. این فرآیند داده ها را برای یافتن فعالیت های مشکوک واکاوی می کند. تحلیل کننده ها به وسیله مانیتور کردن رویداد ها و تشخیص اینکه آیا رویداد حال حاضر مشکوک است یا خیر و همچنین بر اساس قوانینی که در IDS توسط فرآیند های مربوطه فعال می شود ، کار می کنند.
منبع داده: منبع داده اطلاعات خامی است که IDS از آنها برای تشخیص فعالیت های مشکوک استفاده می کند. منابع داده می تواند شامل فایل های بازرسی ، لاگ های سیستم و یا ترافیک شبکه ای باشد که IDS در آن قرار دارد.
رویداد: رویداد اتفاقی است که در منبع داده روی می دهد و نمایانگر به وقوع پیوستن یک فعالیت مشکوک است . یک رویداد ممکن است باعث صدور هشدار شود . رویدادها همیشه برای ارجاع داده شدن در آینده لاگ برداری می شوند. رویدادها می توانند اخطارهایی مربوط به اتفاق های غیرمعمول در شبکه را گزارش دهند .
مدیر: مدیر ابزار یا فرآیندی است که اپراتور توسط آن IDS را مدیریت می کند. کنسول مدیریتی IDS در حقیقت مدیر آن می باشد . اعمال تغییرات در تنظیمات IDS صرفا با برقراری ارتباط با مدیر امکانپذیر است.
اطلاع رسانی :اطلاع رسانی فرآیند یا روشی است که مدیر توسط آن به اپراتور اعلام هشدار می کند .
حسگر: حسگر یکی از اجزای IDS است که داده ها را از منبع داده جمع آوری و آنها را برای انجام شدن تحلیل ها به سمت تحلیل کننده عبور می دهد . حسگر ها هم می توانند بصورت یک درایور دستگاه ، و هم بصورت یک جعبه سیاه جدا از سیستم IDS در مدار شبکه قرار بگیرند ، این دستگاه گزارش های خود را به سمت IDS هدایت می کند.نکته مهم در خصوص حسگر ها این است که حسگر نقطه اصلی جمع آوری داده ها برای IDS محسوب می شود.
اپراتور : اپراتور شخصی است که مسئول کلی سیستم IDS محسوب می شود. این شخص می تواند ، رئیس و یا مدیر شبکه ، کاربر شبکه و یا هر شخصی دیگری باشد ، اما بایستی مسئولیت اینکار را بر عهده داشته باشد. همانطوری که توضیح داده شد یک IDS از اجزاء و فرآیند های مختلفی تشکیل شده است که همه اینها در کنار هم جمع شده اند تا بتوانند تصویر درستی از ترافیک منتقل شده در شبکه شما را بصورت بلادرنگ ارائه دهند . - شکل - 1
انواع معماری سیستم های تشیخص نفوذ
امروزه با توجه به مشکلات متعددی که توسط افراد ناشناس برای ضربه زدن به سازمان ها در محیط های شبکه ای به وجود آمده است، محققان بیشتر علاقه مند به کار در این زمینه هستند. خسارات اقتصادی و مشکلات فنی که توسط این ارتباطات ناامن و نفوذ های هوشمندانه در روند ارتباطات کاربران وارد می شود، کشورها را وادار کرده برای متوقف کردن آنها به دنبال راه کارهای متنوع باشند. یک مشکلی که در تشخیص نفوذ وجود دارد وسعت و دامنه و از همه مهتر چند ریختی و به روز شدن حملات و بد افزار ها می باشد که نیاز مند این است که سیستم های تشخیص نفوذ همگام با این حملات به روز شوند، که این کار نیز مشکلات خاص خود را دارد.
روشی که معمولا در سیتسم های تشخیص نفوذ جهت انتفاع این مشکل به کار می رود، استفاده از روش تشخیص ناهنجاری های شبکه می باشد که این کار مشکل نیازمندی به روز شدن سیستم تشخیص نفوذ را در برابر حملات جدید برطرف می کند و توانایی تشخیص حملات جدید به وجود می آید. با این حال کارشناسان امنیتی همیشه باید یک قدم جلوتر نسبت به عملیات نفوذی و ناهنجاری هایی که درشبکه ها اتفاق می افتد، باشند.
- سیستم تشخیص نفوذ مبتنی بر میزبان این سیستم، شناسایی و تشخیص فعالیت های غیرمجاز بر روی کامپیوتر میزبان را بر عهده دارد. سیستم تشخیص نفوذ مبتنی بر میزبان می تواند حملات و تهدیداتی را روی سیستم های بحرانی تشخیص دهد - شامل دسترسی به فایل ها، اسب های تروا و - … که توسط سیستم های تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند و فقط از میزبان هایی که روی آن ها مستقر است محافظت می کند و کارت واسط شبکهی آن ها به صورت پیش فرض در حالت باقاعده کار می کند. حالت با قاعده ، در بعضی از موارد می تواند مفید باشد. چون همه ی کارت های واسط شبکه ی قابلیت حالت بی قاعده را HIDS ها ندارند .
