بخشی از مقاله
چکیده - شبکههاي حسگر بیسیم از سنسورهایی تشکیل شده است که وظیفه جمعآوري اطلاعات از محیط اطراف را بر عهده دارند. این شبکهها به دلیل بیسیم بودن، محدودیت منابع، تحرك و پویایی و وظایف مهم و بحرانی که دارند نسبت به شبکههاي دیگر داراي آسیبپذیري نسبتا بالایی هستند و باید از تکنیکهاي امنیتی جدیدي براي مقابله با حملات مختلف استفاده کرد.
یکی از این تکنیکها. سیستمهاي تشخیص نفوذ میباشد که نقش مهمی در ایجاد امنیت در شبکههاي حسگر بیسیم بر عهده دارند و محدوده وسیعی از حملات را در برمیگیرد. وظیفه اصلی سیستم تشخیص نفوذ مشاهده رفتارهاي کاربران و هشدار در صورت غیرقانونی بودن این رفتارها میباشد. سیستمهاي تشخیص نفوذ بر اساس متودولوژي تشخیص، مکان تجزیه و تحلیل دادهها، ساختار و مکان دادههاي جمع شده دستهبندي میشوند. در این مقاله سعی بر این شده تا انواع سیستمهاي تشخیص نفوذ نام برده و بررسی شوند.
-1 مقدمه
نفوذ به معنی دسترسی بدون اجازه به منابع سیستم[ 1] و هر فعالیت غیر قانونی به وسیله مهاجم که براي ضربه زدن به منابع شبکه و گرههاي حسگر انجام میشود، میباشد.[2] کشف نفوذ براي شناسایی این نفوذها به منظور بازیابی کردن فعالیتهاي نرمال در سیستم و مانع شدن ورود کاربران غیر قانونی استفاده میشود.[1] پس سیستم تشخیص نفوذ مکانیزمهایی براي کشف فعالیتهاي مخرب و غیرقانونی میباشد. اولین وظیفهي سیستم تشخیص نفوذ مشاهده فعالیتهاي کاربران و رفتار شبکه در لایههاي مختلف است.
هر قدر که بتوانیم امنیت را بالا ببریم باز هم نقطه ضعف معماري، باگهاي نرمافزاري و یا نقص در طراحی وجود دارد که باعث میشود سیستم در مقابل مهاجمین به خطر بیافتد. بهترین راه براي امنیت در شبکههاي بیسیم استفاده از مکانیزمهاي مختلف به موازات هم است که توسط سیستم تشخیص نفوذ انجام میشود. سیستم تشخیص نفوذ از حملات جلوگیري نمیکند ولی در عوض به مدیر شبکه در مورد حملات احتمالی به موقع هشدار میدهد تا ضربات ناشی از حملات متوقف یا کم شود. همانطور که در فصل قبل بیان شد به طور کلی سیستمهاي تشخیص نفوذ داراي سه جزء اصلی میباشد:[2]
جزء نظارتی: براي نظارت رویدادهاي محلی و همچنین نظارت همسایگان. این جزء اصولا بر الگوهاي ترافیکی، رویدادهاي داخلی و بکارگیري منابع نظارت دارد. کشف و تجزیه و تحلیل جزء اصلی است که به الگوریتم مدلسازي شده بستگی دارد. عملیات شبکه، رفتار و فعالیتها تجزیه و تحلیل میشوند و تصمیم گرفته میشود که آنها مخرب هستند یا خیر.
جزء هشدار: این جزء تولیدکننده پاسخهاست به اینصورت که در صورت تشخیص نفوذ هشداري تولید میکند. پس سیستم تشخیص نفوذ از حملات جلوگیري نمیکند بلکه هشدارهاي لازم را میدهد و مدیر شبکه مسئول این است که تدابیر لازم را بییاندیشد. در این مقاله سعی بر این شده است تا انواع سیستمهاي تشخیص نفوذ بررسی شوند. در بخش 2 به بررسی انواع سیستمهاي تشخیص نفوذ پرداخته میشود. در بخش سوم جمعبندي و نتیجهگیري در ارتباط با سیستمهاي تشخیص نفوذ میشود.
-2 انواع سیستم تشخیص نفوذ
-1-2 سیستمهاي تشخیص نفوذ بر اساس نوع نفوذ به موارد زیر دسته بندي شدهاند:[3] تلاش در شکستن مرز شبکه: تلاش براي اینکه دسترسی غیرمجاز به شبکه داشته باشد. مبدل شدن: مهاجم با شناسه غلط سعی میکند دسترسی غیرمجاز به شبکه پیدا کند. نفوذ: کسب دسترسی غیرمجاز به شبکه نشت: جریان اطلاعات نامطلوب از شبکه :DoS انسداد منابع شبکه مانند پهناي باند ارتباطی براي دیگر کاربران. سوء استفاده: به طور عمد آسیب رساندن به منابع شبکه سیستمهاي تشخیص نفوذ ممکن است قسمتی از راه حل تشخیص براي این حملات را پیدا کند ولی همه مدیران سیستم-ها دوست دارند سیستم تشخیص نفوذي طراحی کنند که همه لیست بالا را در بر بگیرد و بتواند تشخیص دهد.
-2-2 تشخیص
سیستمهاي تشخیص نفوذ بر اساس متودولوژيهاي تشخیص به سه دسته تقسیم میشوند:[3]
-1 کشف مبتنی بر ناهنجاري: سیستمهاي مبتنی بر این روش داراي سابقههاي مستندي هستند که نمود وضعیت اجزاي مختلف سیستم در وضعیت عادي است. در این روش رفتار فعلی سیستم با رفتار عادي آن مقایسه میشود و احتمال بروز حملات اینگونه بررسی میشود. در این روش سیستم داراي فاز آموزشی است که به صورت ثابت یا تطبیقی میباشد. در روش ثابت اطلاعات ثابت میمانند مگر به طور صریح از طرف مدیر سیستم فاز آموزش از سرگیري شود زیرا رفتار و پارامترهاي وضعیتی سیستم به مرور زمان تغییر میکنند.
در روش پروفایلهاي تطبیقی مشکل کمتري به مرور پیش میآید ولی این امکان وجود دارد که حملهکننده مرحله به مرحله و با صرف زمان تغییرات مورد نظر را ایجاد کند تا حدي که رفتار حملهکننده براي سیستم عادي به نظر برسد. یکی دیگر از مشکلات این سیستم این است که ممکن است در فاز آموزش حمله کننده از فرصت استفاده کند و وضعیت مطلوب خود را در سابقه سیستم ثبت کند.
از دیگر مسائل این روش این است که به خاطر پیچیدگی و تنوع رفتارهاي مختلف شبکه ایجاد این سابقه به دقت زیادي نیاز دارد و ثانیا تشخیص علت دقیق ناهنجاري ممکن نیست.[8] مزیت دیگر این روش این است که میتواند تعداد زیاد از حملات مختلف و ناشناختهاي که الگوهاي آنها قبلا مشاهده نشده است را با صرف کمترین هزینه شناسایی کند.[8]
