بخشی از مقاله
چکیده:
سیستم تشخیص نفوذ یک سیستم محافظتی است که خرابکاری های در حال وقوع بر روی شبکه را شناسایی میکند. بخاطر رشد بسیار شدید خدمات شبکه ای،شناسایی نفوذ به عنوان یک تکنیک مهم برای امنیت شبکه ،پدیدار گشته است.
در این راستا روش های گوناگونی جهت مقابله با حملات در قالب سیستم های تشخیص نفوذ پیاده سازی شده اند و در شبکه های کامپیوتری استفاده میشوند.در گذشته نفوذها و حملات بیشتر از ناحیه افرادی انجام میشد که علاقه مند بودند تا مهارتها و توانایی های خود را ازمایش کنند, اما امروزه تمایل به نفوذ با شناسایی این تهدیدات قبل از اسیب رسیدن گسترده به آنها شده است.
در این مقاله ابتدا یک مقدمه و معرفی در مورد سیستم های تشخیص نفوذ داده و سپس چهارتا از مهمترین و همچنین از لحاظ عملکرد مطلوب ترین و جدیدترین روشهای موجود در سیستم های تشخیص را مورد بررسی و تجزیه و تحلیل قرا می دهیم و در انتها هر یک از روش ها را در یک جدول نمایش داده و با یکدیگر مقایسه می کنیم همچنین مزایای هر یک از روشها بیان میشود.
-1مقدمه
IDS یا همان سیستم های تشخیص نفوذ - Intrusion Detection System - در حال حاضر جزء اصلی ترین و کامل ترین قسمت های یک سیستم پایش یا مانیتورینگ شبکه می باشند.[1]شناسایی نفوذ یک ابزار نظارت و تحلیل رویدادهایی محسوب میشود که در یک سیستم کامپیوتری به منظور شناسایی علائم مسائل امنیتی رخ میدهند[3] روش کار به این صورت است که با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات,پویش پورتها, به دست آوری کنترل کامپیوترها و نهایتا هک کردن می باشد می تواند نفوذ خرابکارها را گزارش و کنترل کند[4] نفوذ به عملیاتی اطلاق میشود که تلاش میکند برای دسترسی غیر مجاز به شبکه یا سیستم های کامپیوتری از مکانیسم امنیتی سیستم عبور کند
این عملیات توسط نفوذ گران خارجی و داخلی انجام میشود.هدف اصلی یک سیستم تشخیص نفوذ کنترل ترافیک شبکه و تحلیل رفتارهای کاربران می باشد. از این رو سیستم های تشخیص نفوذ فعالیتهای یک سیستم را به دو گروه اصلی طبقه بندی میکند: فعالیتهای نرمال و فعالیتهای نفوذی - مشکوک,حمله - سیستم های تشخیص نفوذ به طور معمول نوع حملات را مشخص میکنند. هدف یک سیستم تشخیص نفوذ جلوگیری از حمله نیست و تنها کشف و احتمالا شناسایی حملات و تشخیص اشکالات امنیتی در سیستم یا شبکه های کامپیوتری و اعلام آن به مدیر سیستم است.
-2انواع سیستم های تشخیص نفوذ
سیستم های تشخیص نفوذ را می توان به 3 دسته زیر تقسیم بندی کرد:
الف- سیستم های تشخیص نفوذ تحت شبکه - NIDS -
نام NIDS از منظر محلی به موقعیت قرار گیری IDS در شبکه است. این سیستم می تواند بر تمام شبکه نظارت داشته باشد . همیشه بهترین محل قرارگیری یک سیستم تشخیص نفوذ تحت شبکه در کنار فایروال شبکه است تا مکمل یکدیگر باشند.
یک سیستم تشخیص نفوذ تحت شبکه در حقیقت یکی از انواع IDSها میباشد که خود را به شبکه متصل کرده و از این طریق ترافیک شبکه را پایش و گزارش های خود را ارائه میکند. یکی از مشکلات NIDS این است که به خاطر جمع آوری اطلاعات و تجزیه و تحلیل با سرعت بالا ممکن است بسیاری از بسته ها را از دست بدهد. بعضی از NIDS ها در سرعت های بالاتر از 100Mbpsدچار مشکل میشوند.
ب-سیستم های تشخیص نفوذ میزبان - - HIDS
یک سیستم تشخیص نفوذ تحت میزبان به گونه ای طراحی شده است که بتواند بر روی سیستم عامل های میزبان - شخصی - افراد در قالب نرم افزار نصب شده و فعالیت کند.این سیستم ها معمولا دارای یک سرویس می باشند که در پس زمینه فعالیت عادی سیستم عامل انجام میشود در 6 ,های مبتنی بر میزبان احتمال هشدارهای نادرست بسیار کم است،چرا که اطلاعات مستقیما به کاربران برنامه های کاربردی بر می گردد.
ج-سیستم های تشخیص نفوذی توزیع شده - - DIDS
این سیستم ها از چندین NIDS یا + , 6 یا ترکیبی از این دو نوع همراه با یک ایستگاه مدیریت مرکزی تشکیل شده است. بدین صورت که هر IDS که در شبکه موجود است گزارش های خود را برای ایستگاه مدیریت مرکزی ارسال میکند .ایستگاه مرکزی وظیفه بررسی گزارش های رسیده و آگاه سازی مسئول امنیتی سیستم را بر عهده دارد[6]
-3انواع روش های تشخیص نفوذ
به طور کلی سیستم های تشخیص نفوذ با توجه به روش های تشخیص به دو دسته کلی تقسیم می شوند.
-1-3سیستم های تشخیص نفوذ-تشخیص سوء استفاده
در تشخیص سوء استفاده - - Misuse Detection شناسایی نفوذ مطابق داده های مشاهده شده با توصیف های از پیش تعریف شده از رفتار سرزده است.این نوع , 6 بیشتر با استفاده از ارزیابی حملات بر اساس شناسه - امضا - های حمله - - Attack_Signatures و اثرات آن - Audit-Trails - در شبکه فعالیت میکند. بنابراین نفوذ شناخته شده می تواند به طور موثر با نرخ خطا False Positive - FP - کم تشخیص داده شوند.
به همین دلیل،این روش به طور گسترده ای در اکثر سیستم های تجاری در اختیار گرفته شده است،نفوذها معمولا چند شکلی هستند و به طور مداوم تکامل می یابند.تشخیص مبتنی بر امضا - سوءاستفاده - زمانی که با نفوذ ناشناخته مواجه شود،می تواند با شکست مواجه شود .یک راه برای مقابله با این مشکل این است که به طور منظم،یا به صورت دستی ،یا به صورت خودکار با کمک الگوریتم های یادگیری، در شبکه عصبی به روز رسانی شود
