بخشی از مقاله
چکیده
تشخیص نفوذ در شبکه فرآیندی است که در آن رویدادها و رخدادهای یک سیستم یا شبکه پایش شده و بر اساس این پایش ها وقوع نفوذ به آن شبکه یا سیستم تشخیص داده می شود. سیستم های تشخیص نفوذ با وضع کردن قوانین خاصی عملکرد کاربران را محدود و بر روی ان نظارت می کنند. سیستم های تشخیص عمدتا برپایه الگوریتم های هوش مصنوعی وروش های دسته بندی طراحی می شوند. در این مقاله به معرفی روش های نوین تشخیص نفوذ خواهیم پرداخت.
.1 مقدمه
نفوذ به عملیاتی اطلاق میشود که تلاش میکند برای دسترسی غیرمجاز به شبکه یا سامانههای کامپیوتری از مکانیسم امنیتی سیستم عبور کند. این عملیات توسط نفوذکنندههای خارجی و داخلی انجام میشود. سیستم تشخیص نفوذ، برنامهای است که با تحلیل ترافیک جاری شبکه یا تحلیل تقاضاها سعی در شناسایی فعالیتهای نفوذ گر مینماید و درصورتیکه تشخیص داد ترافیک ورودی به یک شبکه یا ماشین، از طرف کاربر غیرمجاز بوده و عادی نیست و ناشی از فعالیتهای یک نفوذ گر است، به نحو مناسب به مسئول شبکه هشدار داده یا واکنش خاصی نشان میدهد.
با رشد سریع اینترنت تنشهای مربوط به آن ازجمله نفوذ در شبکه نیز افزایشیافته است. چه خوب بود اگر تمامی سامانههای کامپیوتری از امنیت کامل برخوردار بودند. ولی متأسفانه امنیت کامل شبکههای کامپیوتری محال است و به این زودیها نمیتوان انتظار داشت سامانههای کامپیوتری از امنیت کامل بهرهمند شوند. زیرا حتی اگر این سامانهها کاملاً امن باشند و ورود هرگونه عامل خارجی تهدیدکننده امنیت، به این سامانهها محال باشد، همچنان امکان سوءاستفاده عوامل داخلی در این سامانهها وجود دارد.
امروزهفنّاوری نفوذ به سمت روشهای پیچیدهای چون حملات هماهنگ و مشارکتی سوق پیداکرده است. در چنین شرایطی نیاز مبرم به ابزارهای نرمافزاری که بتوانند بهطور خودکار دامنه وسیعتری از نفوذها را شناسایی کنند، احساس میشود. سامانههای تشخیص نفوذ بهعنوان نگهبان شبکه باید توانایی شناسایی و دفاع را در زمان بسیار کوتاه داشته باشند. در یک دستهبندی کلی، میتوان سامانههای تشخیص نفوذ را به سامانههای متمرکز و توزیعشده تقسیمبندی نمود. در سامانههای متمرکز تمام اجزای سیستم تشخیص نفوذ بهصورت یکجا و بر روی یک رسانه در شبکه فعالیت میکنند.
اما در سامانه های توزیعشده باهدف افزایش ضریب ایمنی، تحملپذیری آسیب و توزیع بار ترافیکی شبکه تمام یا برخی از اجزای سیستم تشخیص نفوذ مانند حسگرها، واقعهنگار و یا حتی جزء تحلیلگر بر روی ناحیههای مختلف یک شبکه یا چندین شبکه متفاوت توزیع میشوند. تکنیکهای متعددی از تشخیص نفوذ در شبکه مبتنی بر تشخیص ناهنجاری تاکنون ارائهشده است که ازجمله میتوان به موارد زیر اشاره کرد:
o روشهای خوشهبندی
o سامانه های مبتنی بر شبکه عصبی o ماشینهای بردار پشتیبان
o تکنیکهای آماری تک متغیره و چند متغیره o مدلهای مارکوف
o منطق فازی
o الگوریتمهای ژنتیک
o ترکیبی از روش های بالا سامانه های تشخیص نفوذ برای بسیاری از سازمانها، از دفاتر کوچک گرفته تا شرکتهای چندملیتی، امری ضروری هستند. برخی از فواید این سامانهها عبارتاند از:
o کارایی بیشتر در تشخیص نفوذ،در مقایسه با سامانههای دستی o منبع دانش کاملی از حملات
o توانایی رسیدگی به حجم زیادی از اطلاعات
o توانایی هشدار نسبتاً بلادرنگ که باعث کاهش خسارت میشود
o دادن پاسخهای خودکار،مانند قطع ارتباط کاربر،غیرفعال سازی حساب کاربر،اعمال مجموعه دستورهای خودکار و غیره o افزایش میزان بازدارندگی
o توانایی گزارش دهی
در این مقاله با مطالعه روش های نوین تشخیص نفوذ می پردازیم.
.2 تاریخچه روش های تشخیص نفوذ
اندرسون اولین فردی است که مقاله ای در رابطه با لزوم بازرسی خودکار امنیت سیستم ها ارائه داد. گزارش اندرسون که در سال 1980 تهیه شد را می توان به عنوان هسته اولیه مفاهیم تشخیص نفوذ معرفی کرد. در گزارش اندرسون، مکانیزم هایی برای بازرسی امنیت سیستم ها معرفی شد و همچنین مشخص شده است که در صورت بروز خرابی در سیستم چگونه با آن مقابله شود. در سال های 1984 تا 1986، پیتر نیومن و دوروتی دنینگ تحقیقاتی در زمینه امنیت سیستم های کامپیوتری انجام دادند که بر اساس سیستم های خبره انجام دادند که نتیجه آن تولید یک سیستم تشخیص نفوذ بود که IDES نامگذاری شد.
در سال های 1984 تا 1985 پروژه ای به دستور نیروی دریایی آمریکا شروع شد که هدف این پروژه تهیه یک روش اتوماتیک برای جمع آوری داده های سطح پوسته 3 برای سیستم عاملUnix بود. در این پروژه توانایی جدا کردن رفتار مطلوب از رفتار غیرمطلوب شان جمع آوری شده و سپس مورد آنالیز قرار می گرفتند. برای تشخیص و جلوگیری از یروز مشکلات در بانک اطلاعات شرکت اعتباری TRW، سیستم تشخیص نفوذ مبتنی بر سیستم های خبره تحت عنوان Discovery طراحی شد. در این روش از مدل های آماری برای تحلیل داده ها استفاده می کرد. سیستم تشخیص نفوذ NSM به عنوان اولین سیستمی محسوب می شود که از اطلاعات شبکه به عنوان منبع اطلاعات استفاده می کند. این سیستم در دانشگاه کالیفرنیا پیاده سازی شد.
تا سال 1990 ، اکثر سیستم های تشخیص نفوذ به صورت مبتنی بر میزبان عمل می کردند، بدین معنی که اطلاعات را از سطح سیستم عامل و یا برنامه های کاربردی جمع آوری و آنها را مورد بررسی قرار می داد. با گسترش اینترنت و مطرح شدن مشکلات امنیتی مربوط به آن لازم شد که سیستمی به وجود آید که هر دو مدل مبتنی بر میزبان و مبتنی بر شبکه را یکجا جمع کند. سیستم DIDS اولین سیستمی بود که این ویژگی را داشت.[1, 2, 3]
.3 دسته بندی روش های تشخیص نفوذ
سامانههای کشف نفوذ دودستهاند. دسته اول شامل سامانههای مبتنی بر میزبان3 یا HIDS ها است که آنهامعمولاً بستههای نرمافزاری هستند که روی کامپیوتری که قرار است از آن محافظت کنند قرار می گیرند. دسته دوم شامل سامانههای مبتنی بر شبکه4 است. بستههایی که ارائهکننده این نوع سیستم می باشندمعمولاً تمامی یک بخش یا شبکه را از بیرون و گاهی از درون یک دیواره آتش مورد نظارت و بررسی قرار میدهند.این سامانههامعمولاً از دو بخش ناظر5 و عامل6 تشکیلشده اند.[1 , 2]
