بخشی از مقاله
چکیده
برای ایجادامنیت کامل دریک سیستم کامپیوتری، دیواره های آتش ودیگرتجهیزات جلوگیری از نفوذ سیستم های دیگری به نام سیستم های تشخیص نفوذ - - IDS و سیستم جلوگیری از نفوذ - IPS - موردنیازمی باشند تابتوانند درصورتی که نفوذگرازدیواره ی آتش، آنتی ویروس ودیگرتجهیزات امنیتی عبورکرد و وارد سیستم شد، آن را تشخیص داده وچاره ای برای مقابله با آن بیاندیشند و یا اینکه جلوی ورود نفوذگران به سیستم گرفته شود .
سیستم های تشخیص نفوذ را می توان ازسه جنبه ی روش تشخیص، معماری ونحوه ی پاسخ به نفوذ طبقه بندی کرد.انواع روش های تشخیص نفوذ عبارتندازتشخیص رفتارغیرعادی وتشخیص سوءاستفاده - تشخیص مبتنی برامضاء - . انواع مختلفی ازمعماری سیستم های تشخیص نفوذ وجود داردکه به طورکلی می توان آن هارا درسه دسته ی مبتنی برمیزبان - - HIDS،مبتنی برشبکه - - NIDS وتوزیع شده - - DIDS تقسیم بندی نمود. در این مقاله ابتدا به سیستم های تشخیص نفوذ و در ادامه به سیستم های جلوگیری از نفوذ پرداخته شده است و در نهایت به مقایسه این دو روش برای برقراری امنیت در شبکه حسگر بی سیم پرداخته شده است.
1. مقدمه
دردنیای امروز،کامپیوتر و شبکه های کلمپیوتری متصل به اینترنت نقش عمده ای درارتباطات و انتقال اطلاعات ایفا می کنند. دراین بین افراد سودجو با دسترسی به اطلاعات مهم مراکزخاص یا اطلاعات افراد دیگر و با قصد اعمال نفوذ یا اعمال فشار و یا حتی به هم ریختن نظم سیستم ها، عمل تجاوزبه سیستم های کامپیوتری درپیش گرفته اند. Hacker ،Cracker و Intruder کلماتی هستندکه امروزه کم و بیش در محافل کامپیوتری مطرح می باشندو اقدام به نفوذ به سیستم های دیگرکرده و امنیت آن ها را به خطر می اندازد. بنابراین لزوم حفظ امنیت اطلاعاتی و حفظ کارآیی در شبکه های کامپیوتری که با دنیای خارج ارتباط دارند، کاملا محسوس است.
ازآنجا که از نظرتکنیکی ایجاد سیستم های کامپیوتری - سخت افزار و نرم افزار - بدون نقاط ضعف و شکست امنیتی عملا غیرممکن است، تشخیص نفوذ درتحقیقات سیستم های کامپیوتری با اهمیت خاصی دنبال می شود. سیستم های تشخیص نفوذ یاIDS برای کمک به مدیران امنیتی سیستم در جهت کشف نفوذ و حمله به کارگرفته شده اند. هدف یک سیستم تشخیص نفوذ جلوگیری ازحمله نیست و تنهاکشف و احتمالا شناسایی و تشخیص اشکالات امنیتی در سیستم یا شبکه ی کامپیوتری و اعلام آن به مدیرسیستم است. عموما سیستم های تشخیص نفوذ درکنار دیواره ی آتش2 و به صورت مکمل امنیتی برای آن ها مورد استفاده قرار می گیرند.
به طورکلی سیستم جلوگیری از نفوذ یاIPS در داخل شبکه قار می گیرد و همانطور که جریان سیستم های اطلاعاتی از داخل آن عبور میکند به آن نگاه می کند.در اینجا د رست شبیه یک سیستم تشخیص نفوذ رفتار می کند یعنی سعی میکند که بامقایسه کردن داده های داخل بسته های اطلاعاتی با یک بانک اطلاعاتی حاوی امضا ها داده غیر متعارف را از آنچه بصورت پیش فرض متعارف نماینده می شود تشخیص دهد. علاوه بر قابلیت سیستم تشخیص نفوذ آن، یک IPSاین توانایی را دارد که چیزی بیشتری از این باشد که فقط هشدار دهد و یا Log گیری نماید. علاوه بر این، این توانایی را دارد که برنامه ریزی شود تا در آن چه که تشخیص می دهد عکس العمل نشان دهد. این قابلیت واکنش نشان دادن باعث شده IPSها خیلی مطلوب تر از سیستم های تشخیص نفوذ ها باشند.
.2 نگاهی برسیستم های تشخیص نفوذ - IDS -
سیستم های تشخیص نفوذ - IDS - وظیفه ی شناسایی و تشخیص هرگونه استفاه ی غیرمجاز به سیستم،سوءاستفاده و یا آسیب رسانی توسط هردو دسته ی کاربران داخلی و خارجی رابر عهده دارند. سیستم های تشخیص نفوذ به صورت سیستم های نرم افزاری وسخت افزاری ایجاد شده وهرکدام مزایا ومعایب خاص خود را دارند.سرعت ودقت از مزایای سیستم های سخت افزاری است و عدم شکست امنیتی آنها توسط نفوذگران، قابلیت دیگر این گونه سیستم ها می باشد. اما استفاده ی آسان از نرم افزار، قابلیت انطباق پذیری در شرایط نرم افزاری و تفاوت سیستم های عامل مختلف، عمومیت بیشتری را به سیستم های نرم افزاری می دهد و عموما این گونه سیستم ها انتخاب مناسب تری هستند.
به طور کلی سه عملکرد اصلی IDS عبارتند از:
✓ نظارت وارزیابی
✓ کشف
✓ واکنش
بر همین اساس هرIDS را می توان براساس روش های تشخیص نفوذ، معماری و انواع پاسخ به نفوذ دسته بندی کرد.
.3 انواع روش های تشخیص نفوذ
نفوذ3 به مجموعه ی اقدامات غیرقانونی که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر می اندازد، اطلاق می گردد. نفوذها می توانند به دو دسته ی داخلی و خارجی تقسیم شوند. نفوذهای خارجی به آن دسته نفوذ هایی گفته می شود که توسط افراد مجاز و یا غیرمجاز از خارج شبکه به درون شبکه ی داخلی صورت می گیرد و نفوذهای داخلی توسط افراد مجاز در سیستم و شبکه ی داخلی، از درون خود شبکه انجام می پذیرد.
نفوذگرها عموما از عیوب نرم افزاری، شکستن کلمات رمز، استراق سمع ترافیک شبکه و نقاط ضعف طراحی در شبکه، سرویس ها و یا کامپیوترهای شبکه برای نفوذ به سیستم ها و شبکه های کامپیوتری بهره می برند. به منظور مقابله با نفوذگران به سیستم ها و شبکه های کامپیوتری، روش های متعددی تحت عنوان روش های تشخیص نفوذ ایجاد گردیده است که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکه ی کامپیوتری را برعهده دارد. روش های تشخیص مورد استفاده درسیستم های تشخیص نفوذ به دو دسته تقسیم می شوند:
✓ روش تشخیص رفتار غیرعادی
✓ روش تشخیص سوءاستفاده با تشخیص مبتنی برامضاء
.1.3 روش تشخیص رفتارغیرعادی
در این روش، یک نما از رفتارعادی ایجاد می شود. یک ناهنجاری ممکن است نشان دهنده یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل شبکه های عصبی، تکنیک های یادگیری ماشین و حتی سیستم های ایمنی زیستی استفاده می شود. برای تشخیص رفتارغیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آن ها پیداکرد. رفتارهایی که از این الگوها پیروی می کنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتارغیرعادی تشخبص داده می شود.
نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچ گونه الگوی ثابتی برای نظارت وجود ندارد. معمولا رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف ازآمار عادی به وقوع می پیوندد، غیرعادی فرض می شود. به عنوان مثال اگرکاربری به جای یک یا دوبار ورود و خروج عادی به سیستم در طول روز، بیست بار این کاررا انجام دهد، و یا کامپیوتری که در ساعت 2:00 بعداز نیمه شب مورد استفاده قرارگرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هریک از این موارد می تواند به عنوان یک رفتارغیرعادی در نظرگرفته شود.
تکنیک ها ومعیارهایی که در تشخیص رفتارغیرعادی به کارمی روند، عبارتنداز:
1. 1. 3 .تشخیص سطح آستانه
تعداد ورود و خروج به/ از سیستم و یا زمان استفاده از سیستم، ازمشخصه های رفتار سیستم و یا استفاده کننده است که می توان با شمارش آن به رفتارغیرعادی سیستم پی برد و آن را ناشی از یک نفوذ دانست. این سطح کاملا ایستا و اکتشافی است.
.2.1.3 معیارهای آماری
در نوع پارامتر یک، مشخصات جمع شده بر اساس یک الگوی خاص در نظرگرفته می شود و در حالت غیر پارامتر یک بر اساس مقادیری که به تجزیه حاصل شده است مقایسه صورت می گیرد. از IDSهای معروف که از اندازه گیری آماری برای تشخیص نفوذ رفتارغیرعادی استفاده می کنند، می توان NIDS را نام برد.