مقاله سیستم‌های تشخیص نفوذ و بررسی تکنیک‌های موجود

چکیده:

امروزه با رشد کاربران اینترنت، نفود به سیستم های کامپیوتری از طریق شبکه نیز در حال افزایش است. بدین منظور امنیت شبکه به عنوان یک مسئله ی جدی برای کاربران به شمار می رود. بنابراین سیستم های تشخیص نفوذ برای کشف و شناسایی حملات و تشخیص اشکالات امنیتی در شبکه های کامپیوتری مورد استفاده قرار می گیرند. سیستمهای تشخیص نفوذ با استفاده از منطق فازی، دادهکاوی، شبکههای عصبی، خوشهبندی،دخت تصمیمگیری وانواع الگوریتمهای تکاملی پیادهسازی میشوند. هدف اصلی این سیستمها کاهش مثبت کاذب وافزایش دقت تشخیص نفوذ است. در این مقاله، ما بیشتر بر روی تکنیک های موجود که برای چنین اهدافی استفاده می شوند متمرکز می شویم و در مورد مزایا و معایب این تکنیک ها بحث می کنیم و در انتها در مورد چگونگی این تکنیکها در جهت دستیابی به سیستمهای تشخیص نفوذ یک نتیجه جدید ارائه می دهیم.

واژه های کلیدی: سیستمهای تشخیص نفوذ، محاسبات نرم، دادهکاوی، نرخ تشخیص، ناهنجاری.

مقدمه

امروزه شبکههای کامپیوتری نقش اساسی و مهمی در زندگی روزمره افراد بازی میکنند. افراد زیادی روزانه از بسترهای اینترنتی و شبکه استفاده کرده و تقریباً اکثر کارها وابسته به شبکههای کامپیوتری شده است. به همین دلیل روزانه اطلاعات زیادی نظیر اطلاعات مهم محرمانه مانند، از این بسترها تبادل میشوند و توجه به امنیت دادهها شاید مهمترین چالش چنین کاربردهایی باشد. راهکار امنیتی برای شناسایی و جلوگیری از فعالیت بدافزارها و بدخواهها استفاده از سیستمهای تشخیص و جلوگیری از نفوذ است. سیستمهای جلوگیری از نفوذ فعالیتهایی که سیاستهای امنیتی یک شبکه را نقض میکند را شناسایی، هشدارهایی را به مدیران شبکه و کاربر شبکه ارسال و در صورت لزوم با آن مقابله مینماید. سیستم جلوگیری از نفوذ یک مکمل ضروری برای امنیت شبکه در کنار ابزارهای امنیتی مانند دیوارآتش و ضدویروسها میباشد زیرا این سیستم علاوه بر کارهایی که باعث برقراری امنیت میگردد، اشکالات شبکه را شناسایی کرده، بستههای وارده را بررسی کرده، خطاهای موجود در بستهها را اصلاح و همچنین شواهد قانونی از وضعیت یک شبکه را تهیه میکند.

اکثر سیستمهای جلوگیری از نفوذ مبتنی بر میزبان وابسته به مکانیسم امضای ایستا میباشند که به نوبت خود نیازمند بهروزرسانی لحظهبهلحظه از امضاء بهمنظور به دست آوردن قابلیت تشخیص دقیق میباشد. سیستمهای جلوگیری از نفوذ مبتنی بر شبکه معمولاً با استفاده از مکانیسم شناسایی الگوی نفوذ - تشخیص سوءاستفاده - و فعالیتهای غیرعادی از شبکه - آنومالی - استفاده میکنند.[1] مشکل مشترک در سیستمهای جلوگیری از نفوذ میزان مثبت کاذب بالا و نرخ تشخیص پایین میباشد .[2] مطالعه روی استفاده از این سیستمها نشان میدهد استفاده از روشهای دادهکاوی روی روش مبتنی بر امضاء باعث کاهش نرخ مثبت کاذب خواهد شد.

-1 انواع حملات شبکه ای با توجه به طریقه حمله

یک نفوذ به شبکه معمولا یک حمله قلمداد میشود. حملات شبکهای را میتوان بسته به چگونگی انجام آن به دو گروه اصلی تقسیم کرد. یک حمله شبکهای را میتوان با هدف نفوذگر از حمله توصیف و مشخص کرد. این اهداف معمولا از کار یا دسترسی غیر مجاز به منابع شبکه است.[3]

-1 حملات از کار انداختن سرویس: در این نوع حملات، هکر استفاده از سرویس ارائه شده توسط ارائه کننده خدمات برای کاربرانش را مختل میکند. در این حملات حجم بالایی از درخواست ارائه خدمات به سرور فرستاده میشود تا امکان خدمات رسانی را از آن بگیرد. در واقع سرور به پاسخگویی به درخواستهای بیشمار هکر مشغول میشود و از پاسخگویی به کاربران واقعی باز می ماند.

-2 حملات دسترسی به شبکه: در این نوع از حملات، نفوذگر امکان دسترسی غیرمجاز به منابع شبکه را پیدا میکند و از این امکان برای انجام فعالیتهای خود استفاده میکند تا در DOS غیرمجاز و حتی غیرقانونی خود استفاده می کند. برای مثال از شبکه به عنوان مبدا حملات صورت شناسایی مبدا خود گرفتار نشود.[4] دسترسی به شبکه را می توان به دو گروه تقسیم کرد:

الف-دسترسی به داده: در این نوع دسترسی، نفوذگر به داده موجود بر روی اجزاء شبکه دسترسی غیرمجاز پیدا میکند. حمله کننده میتواند یک کاربر داخلی یا یک فرد خارج از مجموعه باشد. دادههای ممتاز و مهم معمولا تنها در اختیار بعضی کاربران شبکه قرار میگیرد و سایرین حق دسترسی به آنها را ندارند. در واقع سایرین امتیاز کافی را جهت دسترسی به اطلاعات محرمانه ندارند، اما می توان با افزایش امتیاز به شکل غیر مجاز به اطلاعات محرمانه دسترسی پیدا کرد.

ب- دسترسی به سیستم : این نوع حمله خطرناکتر و بدتر است و طی آن حمله کننده به منابع سیستم و دستگاهها دسترسی پیدا میکند. این دسترسی میتواند شامل اجرای برنامهها بر روی سیستم و به کارگیری منابع آن در جهت اجرای دستورات حمله کننده باشد. همچنین حمله کننده میتواند به تجهیزات شبکه مانند: دوربینها، پرینترها و وسایل ذخیرهسازی دسترسی پیدا کند.حملات اسب ترواها ، و یا استفاده از ابزارهایی جهت تشخیص نقاط ضعف یک نرم افزار نصب شده بر روی سیستم از جمله نمونههای قابل ذکر از این نوع حملات هستند.[4]

-1-1 انواع حملات شبکه ای با توجه به حمله کننده

حملات شبکه ای را میتوان با توجه به حمله کننده به چهار گروه تقسیم کرد: -1حملات انجام شده توسط کاربر مورد اعتماد: این حمله یکی از مهمترین و خطرناکترین نوع حملات است، چون از یک طرف کاربر به منابع مختلف شبکه دسترسی دارد و از طرف دیگر سیاستهای امنیتی معمولا محدودیتهای کافی درباره این کاربران اعمال نمیکنند. -2حملات انجام شده توسط افراد غیر معتمد: این معمولترین نوع حمله است که یک کاربر خارجی که مورد اعتماد نیست شبکه را مورد حمله قرار میدهد. این افراد معمولا سختترین راه را پیشرو دارند زیرا بیشتر سیاستهای امنیتی درباره این افراد تنظیم شدهاند. -3حملات انجام شده توسط هکرهای بیتجربه: بسیاری از ابزارهای حمله و نفوذ بر روی اینترنت وجود دارند. در واقع بسیاری از افراد می توانند بدون تجربه خاصی و تنها با استفاده از ابزارهای آماده برای شبکه ایجاد مشکل کنند. -4حملات انجام شده توسط کاربران مجرب: هکرهای با تجربه و حرفهای در نوشتن انواع کدهای خطرناک متبحرند. آنها از شبکه و پروتکلهای آن و همچنین از انواع سیستمهای عمل آگاهی کامل دارند. معمولا این افراد ابزارهایی تولید میکنند که توسط گروه اول به کار گرفته میشوند. آنها معمولا پیش از هر حمله، آگاهی کافی درباره قربانی خود کسب می کنند.[5]

-1-2 اسنیفرها:

با کمک این ابزار که به صورت نرم افزاری و یا سخت افزاری قابل پیادهسازی میباشند، امکان جمعآوری اطلاعات عبوری از یک شبکه فراهم میآید. یکی از مهمترین نقاطی که امکان وجود یک اسنیفر در آنجا بیشتر وجود دارد، همسایگی ماشین یا زیرشبکهای است که کلمات رمز زیادی دریافت میکندمعمولاً. یک اسنیفر فقط 200 تا 300 بایت اول هر بسته IP را ثثبت میکند، زیرا در این قسمت از بسته های IP، نام کاربران و کلمات رمز آنها قرار دارد. در صورتیکه کل بسته IP ثبت شود، نیاز به حافظه زیادی می باشد. از آنجایی که با کمک اسنیفرها امکان دستیابی به کلمات رمز عبور و اطلاعات محرمانه و خصوصی فراهم میآید، که باعث به مخاطره افتادن امنیت شبکه و شبکههای مجاور میشود بنابراین، این ابزار برای مدیران شبکه بسیار وحشت آور و دردسر آفرین می باشند. از آنجائی که امکان آشکارسازی یک اسنیفر در شبکه کم است، به همین دلیل اسنیفرها از نظر امنیتی در شبکه های رایانه ای بسیار خطرناک میباشند. برخی از روشهای اولیه شناسایی آنها عبارتند از: بررسی کردن تمام فرآیندهای در حال اجرا و بررسی، کلیه فهرست های موجود در رایانه جهت شناسایی اسنیفرهای رایج. دو راه حل عمده برای خنثی نمودن اسنیفرها، رمزنگاری اطلاعات و استفاده از توپولوژی های مطمئن در شبکه می باشد.[6]

-3-1 اسکنرها:

یکی از جالبترین ابزار کار نفوذگران در اینترنت، اسکنرها میباشند. اسکنر در حقیقت نرمافزاری است که به صورت اتوماتیک نقاط ضعف امنیتی یک رایانه میزبان را مشخص میکند. اکثر اسکنرها بر روی محیط یونیکس اجرا می شوند، ولی برای سایر سیستمهای عامل به خصوص سیستم عامل NT ، اسکنرهای خاصی وجود دارد. یک مدیر شبکه با استفاده از این نرمافزار، قادر به شناسایی و ترمیم نقاط ضعف شبکه تحت مدیریت خود میباشد و همچنین خدمات مختلفی که بر روی یک میزبان قابل دسترسی است، معین میشوند. برخی از