intrusion detection system

معرفی سیستم های تشخیص نفوذ IDS

سیستم های تشخیص نفوذ چیست ؟ 

تشخیص نفوذ شامل طیف وسیعی از تکنیک های امنیتی طراحی شده برای شناسایی (و گزارش) سیستم های مخرب و فعالیت های شبکه و یا ثبت شواهدی از نفوذ است . برای درک بهتر تشخیص نفوذ، باید پژوهش های وسیع تری در این حوزه داشته باشید در این مقاله بستر یک نفوذ به عنوان “عمل تحریک و یا ورود به یک مکان یا سازمان بدون دعوت یا خوشامدگویی” تعریف می شود . و هدف از این تعریف ، نفوذ را به عنوان یک سیستم یا فعالیت غیر مجاز بر روی یک کامپیوتر (ها) یا شبکه (ها) معرفی خواهیم کرد.

به عنوان مثال : یک کاربر مشروع سیستم که تلاش می کند امتیازات خود را افزایش دهد تا بتواند دسترسی بیشتری به سیستم داشته باشد یا یک کاربر مشروع دیگر که برای اتصال به یک پورت از راه دور به سروری که مجوز دسترسی ندارد . این نفوذها می توانند از دنیای بیرون توسط افراد مختلف اعم از افراد درون سازمانی یا برون سازمانی باشد .

IDS (Intrusion Detection System) چیست؟

سیستم های تشخیص نفوذ (IDS) نرم افزار و یا سیستم های مبتنی بر سخت افزار هستند که ورودی های شبکه  و هاست خود را بر اساس مجموعه ای از قوانین از پیش تعریف شده تشخیص می دهند . IDS های فعال تلاش می کنند تا با اقدامات مقابله ای که قبلا در سیستم IDS برنامه ریزی شده اند از حملات جلوگیری کنند و یا حداقل در هنگام حمله به مدیران مربوطه هشدار دهند .

اصطلاح “تشخیص نفوذ” طیف گسترده ای از فن آوری هایی را که در تشخیص، گزارش دهی و همبستگی یا سیستم عامل و رویدادهای امنیتی شبکه دخیل هستند را پوشش می دهد. فن آوری های تشخیص نفوذ به جای اعمال پیشگیرانه بیشتر کار کاوش و شناسایی را انحام می دهند ، اما می توانند با ارائه گزارشات مناسب به مدیر امنیتی یا مدیر فناوری ، با اطلاعاتی در مورد رویدادهای امنیتی یا اقدامات امنیتی، به کاهش نوع خطرات زیر کمک کنند.

  • نابودی اطلاعات
  • خود داری از خدمات
  • کد غلط، به عنوان مثال تلاش سرریز بافر
  • شبکه یا سیستم استراق سمع
  • سیستم یا نقشه برداری شبکه
  • نفوذ به سیستم یا شبکه
  • دسترسی غیر مجاز

نکته : سیستم های تشخیص نفوذ، یک سلاح مدرن در چارچوب کاری مدیران سیستم، مدیران شبکه و متخصصان امنیتی هستند که امکان گزارش واقعی فعالیت های مشکوک و مخرب را در زمان واقعی می دهند.

انوع سیستم های IDS

سیستم های تشخیص نفوذ به سه دسته تقسیم می شوند:

  • سیستم های تشخیص نفوذ مبتنی بر هاست (HIDS)
  • سیستم های تشخیص نفوذ مبتنی بر شبکه (NIDS)
  • سیستم های تشخیص نفوذ ترکیبی

سیستم های تشخیص نفوذ مبتنی بر هاست (Host Intrusion Detection System)

HIDS  سیستم تشخیص نفوذی است که در فضای هاست قرار می گیرد و فعالیت ها را اسکن می کند. به طور معمول، HIDS فایلهای ورودی سیستم عامل، پرونده های ورودی نرم افزار یا فایل های ورودی DBMS را برای ردیابی فعالیت های مخرب اسکن می کند. این نو معماری تشخیص نفوذ کاملا به محتویات فایل های log وابستگی دارد و در نتیجه، اگر داده های log-files به هر نحوی از بین برود یا مهاجم بتواند اطلاعات فایل های ورودی را دستکاری کند، تشخیص وقوع حمله در این سیستم ها با چالش روبرو می شود در نتیجه در این نوع معماری حتما فرایند محافظت از لاگ ها و رخداد های خروجی سیستم تشخیص نفوذ باید به بهترین نحو اعمال شود

انواع مختلفی از سیستم های تشخیص نفوذ مبتنی بر هاست که در سطوح مختلف جهان هستند، وجود دارد.

 

سطح سیستم عامل

این نوع از عملکرد HIDS با کار بر روی لاگ فایل های سیستم عامل می باشد و فعالیت های غیر مجاز را براساس معیارهای زیر تعیین می کند:

  • شروع برنامه بر روی یک سیستم
  • اعتبار ورود و خروج مانند تاریخ و زمان، مکان های ورود و …
  • اضافه و حذف؟ اصلاح موجودیت های سیستم
  • دسترسی به منابع سیستم مانند فایل ها / پوشه ها / محل حافظه / رجیستری

اطلاعات جمع آوری شده از پرونده های مجاز جمع آوری می شود و با امضای موجود در پایگاه داده با استفاده از الگوریتم های خاص مقایسه می شود.

سطح برنامه

این نوع HIDS ها بسیار شبیه به سطح سیستم عامل هستند و تفاوت اصلی در این است که HIDS در فایل های ورودی به سطح نرم افزار بیشتر تمرکز می کند تا سیستم های ورود به سطح سیستم عامل . برای مثال، این سطح یک راه حل ایده آل برای تشخیص تلاش های نفوذ به یک برنامه پایگاه داده است که در یک هاست موجود است .

سطح شبکه

حتی اگر نام این HIDS بسیار شبیه به NIDS باشد، باز هم متفاوتند. HIDS در سطح شبکه بر روی بسته های شبکه ای که به هاست خاصی آدرس می دهند، کار می کند. اگر یک بسته مقصدخاصی نداشته باشد HIDS اقدام به جمع آوری و کار بر روی بسته مورد نظر را انجام نخواهد داد .

مزایای HIDS

مقرون به صرفه – HIDS در مقایسه با NIDS برای یک شبکه کوچک و متوسط ​​مقرون به صرفه هستند

لایه حفاظت اضافی: در یک معماری چند لایه امنیتی، HIDS می تواند یک لایه امنیتی دیگر را با شناسایی حملات از دست رفته توسط سایر ابزارهای امنیتی در معماری ارائه دهد

کنترل مستقیم بر روی سیستم های سازمانی: از آنجا که HIDS در سطح هاست کار می کنند، آنها کنترل بیشتری را بر سیستم های سازمانی مانند حافظه، رجیستری، فایل های سیستم و غیره می دهند.

سیستم های تشخیص نفوذ مبتنی بر شبکه (Network Intrusion Detection System)

اهمیت امنیت شبکه به شدت افزایش یافته است و تعداد زیادی از دستگاه ها مختلف برای بهبود امنیت شبکه معرفی شده اند که سیستم های تشخیص نفوذ شبکه (NIDS) از جمله سیستم هایی است که به طور گسترده ای در آن قرار دارد . NIDS یکی از محبوب ترین سیستم هایی است که برای اسکن بسته های مشکوک در هر بار بسته بندی استفاده می شود . طرح های مبتنی بر امضا در این سیستم دارای نرخ های مثبت هستند که در مبارزه با تهدیدات امنیتی شناخته شده موثرتر و دقیق تر به کار برده می شود . با این حال، در برابر حملاتی که هنوز ناشناخته مانده اند ممکن است بی اثر باشند . بسته های مخرب پس از اینکه به صورت دستی تشخیص داده می شوند ، مورد مقابله قرار می گیرند و امضایی برای آنها ایجاد می شود.

از آنجاییکه تهدیدات جدید به طور بالقوه خطرناک تر هستند، تعداد زیادی طرح های پیشگیرانه ارائه شده است که می تواند رویدادهای امنیتی جدیدی مانند انتشار یک ویروس یا کرم جدید و ناشناخته را تشخیص دهد. چنین سیستمی این کار را با ایجاد نمایه ای از ترافیک اینترنت معمولی انجام می دهد و سپس با استفاده از این نمایه به طور مداوم فعالیت شبکه را جهت فعالیت های مشکوک نظارت می کند. همانگونه که سیستم حساسیت انحرافی یا تغییرات چشمگیر در ویژگیهای ترافیکی را احساس می کند، اقدامات خاصی نظیر بالا بردن آلارم خطر یا حذف ترافیک خاص انجام می شود. در این مقاله بررسی، تعدادی از سیستم های فعلی NIDS و الگوریتمی را که برای شناسایی و مبارزه با تهدیدات امنیتی از نظر فنی و اقتصادی استفاده می کنند، ارزیابی می کنیم.

برای اجرای NIDS دو روش اصلی وجود دارد :

۱- مبتنی بر امضا

۲- مبتنی بر تشخیص آنومالی

رویکرد مبتنی بر امضا (signature)

 رویکرد اول به یک موفقیت تجاری تبدیل شده است. یک NIDS مبتنی بر امضای مجموعه ای از امضا ها را حفظ می کند، که هر یک از آنها نمایه یک تهدید امنیتی شناخته شده (مثلا یک ویروس یا حمله ی DoS) را مشخص می کند. این امضا ها برای تجزیه جریان داده ها از جریان های مختلف عبور و از طریق لینک شبکه استفاده می شود  هنگامی که یک جریان با یک امضا منطبق است، اقدام مناسب انجام می شود (برای مثال مسدود کردن جریان یا محدود کردن سرعت آن) . به طور سنتی، امضاهای امنیتی به عنوان string signature ، port signature و header condition مشخص شده است.

string signature  یک رشته از علامت های ASCII است که یک حمله شناخته شده را مشخص می کند. به عنوان مثال، چنین عبارت رشته  ایی در یونیکس می تواند “cat “+ +” > /.rhosts” باشد، که اگر اجرا شود، می تواند باعث آسیب پذیر شدن سیستم و حمله در شبکه شود. رشته های Simpel ممکن است منجر به false positives بالا شود ، بنابراین مهم است که امضای رشته اصلاح شوند . برای این منظور می توان از یک امضای رشته ترکیبی استفاده کرد . عبارت رشته ترکیبی برای شناسایی یک حمله مشترک وب سرور می تواند “cgi-bin” و “aglimpse” و “IFS” باشد.

امضاهای پورت معمولا برای تلاش اتصال به پورت های شناخته شده و اغلب مورد حمله قرار می گیرند. مثال های واضح شامل telnet (پورت TCP 23)، FTP (پورت TCP 21/20)، SUNRPC (پورت TCP / UDP 111) و IMAP (پورت TCP 143). اگر این پورت ها در یک نقطه از زمان توسط سایت استفاده نشوند، بسته های دریافتی به این پورت ها مشکوک در نظر گرفته می شوند.

امضاهای Header برای تماشای ترکیبات خطرناک یا نامناسب در حوزه های packet headers طراحی شده اند  که معروف ترین آن می توان به Winnuke اشاره کرد . در نسخه قبلی ویندوز، این مورد به ” blue screen of death ” منجر می شد . یکی دیگر از معروف ترین packet headers ، یک TCP packet header است که در آن هر دو پرچم SYN و FIN تنظیم می شوند. این نشان می دهد که درخواست کننده تلاش می کند تا به طور همزمان شروع و متوقف شود.

برخی از NIDS های تجاری شناخته شده عبارتند از AXENT (www.axent.com)، سیسکو (www.cisco.com)، CyberSafe (www.cybersafe.com)، ISS (www.iss.net) و Shadow (www.nswc.navy) .mil / ISSEC / CID)، در حالی که NIDS محبوب منبع باز شامل Snort و Bro می باشد.

رویکرد مبتنی بر تشخیص آنومالی (Anomaly)

NIDS مبتنی بر آنومالی، ترافیک شبکه را نظارت می کند و آن را در مقایسه با یک روند پایه ای از مشخصات ترافیکی نرمال مقایسه می کند . baseline مشخصه های یک شبکه معمولی می باشد مانند استفاده از پهنای باند معمول ، پروتکل های رایج استفاده شده ، ترکیبات درست از اعداد پورت ها ، دستگاه ها و هشدار به مدیر یا ترافیک غیرمستقیم کاربر که شناسایی شده است و به طور قابل توجهی متفاوت از خط پایه است. این موضوع بسیار ذهنی است و می تواند تصمیم بگیرد که چه مواردی یا چه انحرافی طبیعی باشد ، اما یک  قاعده کلی پذیرفته شده این است که هر حادثه ای که در فرکانس بیشتر از دو انحراف استاندارد آماری رخ می دهد باید مشکوک باشد . یک مثال از چنین رفتاری می تواند این باشد که یک کاربر عادی ۲۰ بار در روز به جای یک دوره نرمال ، ۱ یا ۲ بار وارد یا از سیستم خارج می شود . مثال: زمانی که یک کامپیوتر کاربر در ساعت ۲:۰۰ صبح استفاده می شود در حالی که هیچ کس در خارج از ساعات کاری دسترسی ندارد بنابراین همچین مواردی باید برخی سوء ظن ها را افزایش دهد . در سطح دیگری ، یک NIDS می تواند الگوهای کاربر را بررسی کند، مانند پروفایل برنامه هایی که اغلب اجرا می شوند، و غیره . اگر یک کاربر مجاز در بخش اداری ناگهان شروع به اجرای برنامه ها از بخش مهندسی یا شروع به کامپایل یک کد کند، سیستم می تواند به سرعت به مدیران هشدار دهد.

واضح است که تشخیص نفوذ مبتنی بر آنومالی ممکن است منجر به نرخ بالایی از تشخیص های اشتباه ، که ما آن را تشخیص مثبت کاذب می دانیم بشود اما به طور کلی تثبیت موارد مثبت و منفی به طور کاملا دقیق در سیستم ای که سیاست های تهاجمی را برای تشخیص ناهنجاری ها تنظیم می کند، بسیار دشوار و مستلزم پیکربندی های دقیق تر سیستم های امنیتی می باشد . چالش دوم نگرانی از فرض این سیستم ها است که حملات همیشه غیرعادی هستند و ممکن است لزوما درست نباشد . مهاجم هوشمند ممکن است تکنیک های نفوذی را ایجاد کند که منجر به حداقل اختلال در ترافیک اساسی شود، بنابراین ممکن است ناشناخته باقی بماند .

در این مقاله بررسی جزئیات دقیق طراحی هر NIDS مبتنی بر امضا و آنومالی را توصیف می کنیم.

به طور خاص برای سیستم های امضا، ما موضوعات زیر را پوشش می دهیم :

۱- یک مرور کلی از سیستم – معماری سطح بالا و اصول تشخیص نفوذ.

۲- سیستم های شناخته شده فعلی و الگوریتم ها و معماری های مورد استفاده آنها

۳- a) امضاهای مورد استفاده

ب) سخت افزار / معماری سیستم

ج) عملکرد و محدودیت ها

۲- اثربخشی در بهبود امنیت شبکه

۳- معایب چنین سیستم هایی

برای سیستم های مبتنی بر آنومالی ، ما موضوعات زیر را پوشش می دهیم :

۱- بررسی سیستم های تشخیص ناهنجاری و معماری سطح بالا

۲- الگوریتم های شناخته شده که برای شناسایی رفتار غیرمعمول در ترافیک رفتار می کنند

۳- a) الگوریتم خوشه بندی غیرقابل نگهداری

ب) روش های مبتنی بر آنتروپی

ج) تکنیک های داده کاوی

۲- چگونه تشخیص ناهنجاری می تواند برای مبارزه با تهدیدات امنیتی و بحث در مورد نقش احتمالی آنها در آینده نزدیک مورد استفاده قرار گیرد.

۳- معایب و چالش ها در اجرای چنین سیستم ها و شرح مختصر تکنیک هایی که معمولا مهاجمان برای فرار از آنها استفاده می کنند.

NIDS و معماری شبکه

در این بخش، توضیح می دهیم که چگونه NIDS ها در یک شبکه داده شده مستقر هستند. برای حفظ وضوح، NIDS را به عنوان یک جعبه سیاه در نظر می گیریم (در بخش بعدی ما معماری NIDS را بیشتر توضیح می دهیم) و لیست های پیکربندی و مکان های popular را شرح می دهیم (جایی که NIDS برای اتصال به شبکه و تشخیص نقض های امنیتی مستقر میشود)

 

حالت اخطار اولیه – Early Warning Mode

NIDS-Firewall

شکل ۱: NIDS به عنوان یک سیستم تشخیص زودهنگام

 

در چنین حالت عملیاتی، NIDS در خارج از محیط فایروال کار می کند (نشان داده شده در شکل ۱). بنابراین، تمام ترافیک ورود به هاست و  یا شبکه محلی و سازمانی توسط NIDS اسکن شده است. مزیت چنین تنظیماتی این است که NIDS در یک اتصال سریع به یک لینک با سرعت بالا باقی می ماند و به طور بالقوه می تواند تعداد زیادی از سرویس ها را به سیستم هاست ارائه کند . بنابراین، مدیریت و به روز رسانی امضا و نگه داشتن تنظیمات به روز رسانی بسیار ساده تر است. یک نقطه ضعف این است که حملات آغاز شده بر روی هاست در محیط فایروال غیرقابل کشف است. همچنین توجه کنید که در چنین معماری، ممکن است NIDS هشدار را افزایش دهد در حالی که فایروال ترافیک را مسدود می کند، بنابراین NIDS به طور موثر زنگ هشدار یک عملیات مخرب را ارائه می دهد.

استقرار داخلی – Internal Deployments

در چنین حالت عملیاتی، NIDS به گونه ای عمل میکند که ترافیک هر لینک داده شده را در داخل شبکه می گذارد و نظارت می کند، به این ترتیب امنیت افزایش می یابد (نشان داده شده در شکل ۲). بنابراین NIDS در نزدیکی گره های سوئیچینگ در داخل شبکه محلی و در نزدیکی روترهای دسترسی در مرز شبکه مستقر است. در چنین تنظیماتی، NIDS نظارت بر ترافیک را که توسط فایروال مسدود شده است، کنترل می کند و موجب کاهش هشدارهای ناخواسته در هاست می شود. یک نقص در این معماری این است که نمونه های متعددی از NIDS وجود خواهد داشت و از بین بردن همه ی آنها در یک شبکه بزرگ در یک سازمان وسیع ، خسته کننده خواهد شد. چنین پیکربندی هایی در شبکه های کوچک یا شبکه هایی که محدوده تجارت الکترونیک فعالیت دارند محبوب هستند که شامل سرورهای وب و پست الکترونیکی و سرورهای پایگاه داده و ذخیره سازی می باشد وبه عنوان یک افزایش امنیت در آن مطلوب است. همچنین در نگهداری یک سرور آلوده به دیگران در شبکه آسیب پذیر است.

 

شکل ۲: NIDS در حالت استقرار کامل

NIDS در هر هاست (مانند یک ضد ویروس)

در چنین تنظیماتی، هر هاست یک NIDS داخلی دارد که به تمام واسط های شبکه آن وصل شده است. در اینجا،چنین معماری مشابه آنتی ویروس است که در هاست اجرا می شود؛ اما مزیت کلیدی آن اینست که NIDS از سیستم عامل هاست جدا می شود، بنابراین می توان آن را به طور جداگانه توسط مدیر شبکه از طریق یک مکان مرکزی مدیریت کرد. با این وجود، مدیریت زمان می تواند پیچیده شود، در حالی که شبکه های بزرگ شامل چندین رایانه هاست هستند . استدلال شده است که چنین ساختاری می تواند به مشکل در اجرای الگوریتم های NIDS منجر شود، به عنوان نمونه ای واحد از NIDS، از مسیرهای عبور از طریق لینک های دیگر آگاه نخواهند شد؛ بنابراین حمل چنین انکار سرویس توزیع شده (DDoS) ممکن است ناشناخته باشد. یکی دیگر از ضعف ها ناشی از استفاده گسترده از دستگاه هایی مانند پورت های دسترسی است که به طور پویا آدرس های آی پی را به هاست های محلی اختصاص می دهند. با توجه به دامنه محدوده این آدرس های آی پی، NIDS برای هاست، به طور موثر مسیر بسته را تحت تاثیر قرار می دهد که بر مکانیزم و قابلیت تشخیص آن تأثیر می گذارد.

با شرح فوق ، سه مورد از پیکر بندی NIDS از سری معماری های گفته شده و الگوریتم هایی که برای اجرای NIDS استفاده می شود را ادامه می دهیم . NIDS به طور سنتی با دو تکنیک محبوب طراحی شده است: تشخیص مبتنی بر امضا و یک اجرای نسبتا پیشرفته به نام تشخیص مبتنی بر ناهنجاری. اول توصیف طراحی مبتنی بر امضا را شروع می کنیم.

NIDS مبتنی بر امضا

IDS مبتنی بر امضا بسته های شبکه را نظارت خواهد کرد و آنها را در برابر یک پایگاه داده از امضا یا ویژگی های تهدیدات مخرب شناخته شده مقایسه می کند . امضاها ترکیبی از هدر بسته و قوانین بازرسی محتوای بسته را مشخص می کنند تا جریانهای ترافیکی غیرمعمول را شناسایی کنند. قانون هدر بسته شامل یک فیلتر در بسته ۵-tuple (آدرس های IP مبدا و مقصد و پورت ها ) می باشد و قانون بازرسی محتوا شامل یک الگوریتم رشته ای یا عبارات منظمی است که باید در بسته های پیلود باشد. در حالی که تطبیق هدر بسته نیاز به تکنیک های طبقه بندی داشته و می تواند با استفاده از Memories Addressable Content Content (TCAM) اجرا شود ، تطبیق الگو نیاز به بازرسی عمیق بسته را دارد که شامل هر بایت بارگیری بسته است. به طور سنتی، الگوها به عنوان رشته های دقیق مطرح شده است و به طور طبیعی، به دلیل پذیرش وسیع و اهمیت آنها، چندین رشته الگوریتم مطابق با الگوریتم های سریع و کارآمد اخیرا پیشنهاد شده است. اینها اغلب از رشته الگوریتمهای منطبق و استانداردی مانند Aho-Corasick [Aho75]، Commentz-Walter [Walter79] و Wu-Manber [Wu94] استفاده می کنند و از ساختار داده پیش پردازش شده برای انجام تطبیق با کارایی بالا استفاده می کنند. در میان این ها، Aho-Corasick به طور گسترده ای مورد استفاده قرار گرفته است.

معماری NIDS مبتنی بر امضا

هنگامی که معماری با سرعت بالا طراحی شده است ، اجزای دیگر NIDS را می توان در اطراف آن ساخت. نمودار سیگنال بلوک یک NIDS مرجع در شکل ۳ نشان داده شده است. بلوک تجزیه کننده پروتکل، یک جریان TCP را مجدد احیا می کند زیرا بسته ها در یک جریان TCP می توانند خارج از نظم قرار بگیرند یا می توانند تکرار شوند. علاوه بر این، بسته ها در یک جریان TCP در لینک های با سرعت بالا چندپردازنده با بسته هایی از جریان های دیگر قرار میگیرند سیستم های با سرعت بالا، تعداد کل اتصال TCP فعال می تواند به یک میلیون برسد، بنابراین بخش ذخیره سازی می تواند هزینه های قابل توجهی داشته باشد . اکثر NIDS ها فقط برای تولید آلارم طراحی شده اند. با این حال، برخی از NIDS های تجاری موجود از قبیل سیستم های سیسکو مقدار مناسبی از توانایی مقابله با اقدامات ضد اندازه گیری (نشان داده شده توسط جعبه ضد اندازه گیری) دارا می باشند که شامل خاموش کردن اتصال TCP مخرب به تغییر پایگاه داده روتر و یا لیست فیلتر است. چنین قابلیتی NIDS را قادر می سازد تا به محض تشخیص اولیه، بدون نیاز به مداخله انسان صبر کند تا از حملات به سرعت جلوگیری کند . حتی سیستم هایی که چنین قابلیت هایی را ارائه نمی دهند می توانند به برنامه های مشخص خاصی متصل شوند تا اثر مشابهی به دست آورند.

NIDS-Signature

شکل ۳ : اسکریپت بلوک اجزای موجود در یک NIDS مبتنی بر امضا

 

بعضی از NIDS های شناخته شده که از این معماری استفاده می کنند، در زیر فهرست شده اند.

Snort : Snort محبوب ترین ابزار منبع باز NIDS است. قابلیت هایی که Snort به عنوان یک سیستم تشخیص نفوذ و پیشگیرانه ارائه می دهد آن را انعطاف پذیر ترین، قدرتمند و مقرون به صرفه ساخته است Snort دارای تمام قابلیت های فنی است که یک ابزار تجاری IDS و IPS باید داشته باشد . قابلیت های اصلی آن عبارتند از بازرسی عمومی، تطبیق الگو با استفاده از یک زبان قوانین پیشرفته و تشخیص آنومالی پروتکل.

Bro : Bro یک IDS شبکه ای است که توسط آزمایشگاه ملی لارنس برکلی ایجاد شده و به شدت در آزمایشگاه های فدرال، نظامی و تحقیقاتی مورد استفاده قرار می گیرد. Bro یک منبع باز، NIDS مبتنی بر یونیکس است که منفعلانه ترافیک شبکه را نظارت می کند و به دنبال رفتار ترافیکی غیرمعمول می باشد.

Pointing Point: یک محصول ۳Com، TippingPoint NIDS است. سیستم های تشخیص و پیشگیری نفوذ در TippingPoint یک دستگاه درون خطی را دارا می باشد که می تواند بصورت یکپارچه و شفاف در هر مکان در یک شبکه قرار گیرد. همانطور که بسته ها از طریق دستگاه عبور می کنند، میزان حمل و نقل آنها به طور کامل بررسی می شود و در برابر امضا ها مطابقت دارد تا تعیین کنند که آیا آنها مضر یا مشروع هستند. این محصولات می توانند ظرفیت دوم گیگابیت را با بازبینی کامل با بسته های حمایتی پشتیبانی کنند.

تشخیص آنومالی مبتنی بر NIDS

با توضیحات NIDS مبتنی بر امضا، ما اکنون در تشخیص ناهنجاری برای NIDS تمرکز می کنیم . مقدار کلید و اثربخشی تشخیص آنومالی مبتنی بر NIDS این است که آنها می توانند به صورت خودکار حملاتی را که هنوز ناشناخته هستند و بنابراین قابل شناسایی با NIDS مبتنی بر امضا نیستند، در بر بگیرند . یک تکنیک تشخیص آنومالی معمولا شامل دو مرحله مختلف است: مرحله اول فاز آموزش است که در آن یک پروفایل ترافیکی طبیعی ایجاد می شود؛ فاز دوم تشخیص بی نظمی نامیده می شود، در حالیکه پروفایل آموخته شده برای ترافیک فعلی برای هر گونه انحراف مورد استفاده قرار می گیرد. اخیرا پیشنهاد شده است تعدادی از مکانیسم های تشخیص آنومالی برای شناسایی چنین انحراف هایی که طبق روش های آماری، داده ها و روش های مبتنی بر یادگیری ماشین طبقه بندی شده است، ارائه شده است. شرح مختصری از هر یک از آنها را ررا می توانید از منابع خارجی دریافت کنید .

توانایی ها و محدودیت های NIDS

امروزه NIDS در افزایش امنیت شبکه ها بسیار ارزشمند است؛ با این حال، آنها دارای تعدادی از اشکالات کلیدی هستند. در راه اندازی NIDS مدیر شبکه باید از نقاط قوت و محدودیت های آن آگاه باشد. در این بخش ما این ویژگی ها را مورد بحث قرار می دهیم.

توانایی های NIDS

NIDS می تواند توابع زیر را برای افزایش امنیت انجام دهد.

۱- اندازه گیری و تجزیه و تحلیل رفتار کاربر معمولی و غیر معمولی [Estan03]. به عنوان مثال، NIDS مبتنی بر تشخیص آنومالی قادر به تشخیص حجم جریان ترافیک بالا، flash crowds ، عدم تعادل بار در شبکه، تغییر ناگهانی تقاضای استفاده از پورت ، افزایش ناگهانی ترافیک از یک میزبان خاص و غیره می باشد [Lakhina05].

۲- شناسایی کرم ها، ویروس ها و بهره برداری از حفره های امنیتی شناخته شده. NIDS مبتنی بر امضا می تواند این حوادث را با درجه نسبتا بالایی از دقت تشخیص دهد. امضای مناسب نیز یک احتمال مثبت کاذب را تضمین می کند.

۳- برخی از سیستم های پیشرفته NIDS همچنین شناسایی الگوهای رویدادهای سیستم که با یک تهدید امنیتی شناخته می شوند را فعال می کند [OSHBIDS07].

۴- اجرای سیاست های امنیتی در یک شبکه داده. برای مثال NIDS را می توان پیکربندی کرد تا تمام ارتباطات بین مجموعه های خاصی از آدرس های IP و یا پورت ها را مسدود کند. یک NIDS همچنین می تواند برای کنترل دسترسی به شبکه گسترده استفاده شود.

۵- NIDS مبتنی بر آنومالی همچنین می تواند با یک احتمال ساختگی و کاذب، حملات جدید و الگوهای غیر عادی در ترافیک شبکه را شناسایی کند که امضا آنها هنوز تولید نشده است. این کار به سرعت به سرپرست شبکه هشدار می دهد و به طور بالقوه آسیب های ناشی از حمله جدید را کاهش می دهد.

حمله های مشترک و آسیب پذیری ها و نقش NIDS

NIDS های فعلی برای عملیات موثر نیاز به مقدار قابل توجهی مداخله و پیکربندی های دستی دارند. بنابراین مدیران شبکه باید از معماری NIDS و حملات شناخته شده و مکانیسم های مورد استفاده برای شناسایی آنها و حاوی خسارت ها اطلاعات کافی داشته باشند . در این بخش، ما در مورد برخی از حملات شناخته شده، سوء استفاده، و آسیب پذیری در سیستم عامل میزبان و پروتکل ها صحبت می کنیم.

انواع حملات

محرمانه بودن: در چنین نوع حملاتی، مهاجم دسترسی به اطلاعات محرمانه و غیرقابل دسترس دارد.

یکپارچگی: در چنین نوع حملاتی، مهاجم می تواند وضعیت سیستم را تغییر دهد و داده ها را بدون مجوز صحیح مالک تغییر دهد.

در دسترس بودن: در چنین نوع حملاتی، سیستم توسط مهاجم بسته شده یا به کاربران عمومی دسترسی پیدا نمی کند. حملات انکار سرویس در این دسته قرار دارند.

کنترل: در چنین حملاتی، مهاجم کنترل کاملی از سیستم را به دست می گیرد و می تواند امتیازات دسترسی سیستم را تغییر دهد و به طور بالقوه تمام حملات فوق سه گانه را منجر شود.

حملات شناسایی شده توسط NIDS

تعدادی از حملات می تواند توسط نسل فعلی NIDS شناسایی شود. برخی از این موارد ذکر شده و شرح داده شده اند.

۱- حمله اسکن شده

در چنین حملاتی، مهاجم انواع مختلفی از بسته ها را برای شناسایی یک سیستم یا شبکه برای آسیب پذیری هایی که می تواند مورد سوء استفاده قرار گیرد، ارسال می کند. هنگامی که بسته های کاوش ارسال می شوند، سیستم هدف پاسخ می دهد؛ پاسخ ها برای تعیین ویژگی های سیستم هدف و اگر آسیب پذیری ها وجود داشته باشد (شکل ۴ نشان داده شده است) مورد بررسی قرار می گیرند . بنابراین حمله اسکن به طور عمده یک قربانی احتمالی را شناسایی می کند.

اسکنرهای شبکه، اسکنرهای پورت، اسکنر آسیب پذیری و غیره استفاده می شود که این اطلاعات را به ارمغان می آورد:

scan attack

شکل ۴ : نمودار چپ، یک حمله اسکن را نشان می دهد که در آن میزبان حمله ، شماری از قربانیان را اسکن می کند. نمودار راست حمله انکار سرویس نشان می دهد (DDoS در این مورد)، که در آن مهاجم از تعدادی از رایانه های آسیب دیده برای حمله به قربانی استفاده می کند.

۱- حملات انکار سرویس (DoS)

حمله انکار سرویس به تلاش برای کم کردن و یا به طور کامل تعطیل کردن هدف به منظور خارج کردن از خدمات و انکار دسترسی کاربران مشروع و مجاز است . چنین حملاتی در اینترنت رایج است که در آن مجموعه ای از هاست ها اغلب برای بمباران سرورهای وب شروع به ساخت درخواست های ساختگی  می کنند (شکل ۴ نشان داده شده است). چنین حملاتی می تواند به سبب انکار مشتریان در دسترسی به کسب و کار، موجب آسیب اقتصادی به تجارت الکترونیک شود.

حملات نفوذ

در حملات نفوذ، مهاجم کنترل غیر مجاز از سیستم هدف می گیرد و می تواند وضعیت سیستم را تغییر دهد، سیستم را بخواند، فایل ها را بخواند و غیره . به طور کلی، چنین حملاتی از نقص های خاصی در نرم افزار استفاده می کند که مهاجم را قادر می سازد ویروس ها و بدافزار را در سیستم نصب کند . شایعترین نوع حملات نفوذ عبارتند از:

User to root : کاربر محلی دسترسی کامل به هر بخش از سیستم را می گیرد .

Remote to user : یک کاربر در سراسر شبکه یک حساب کاربری و کنترل های مرتبط با آن را به دست می گیرد .

Remote to root : یک کاربر در سراسر شبکه کنترل کامل سیستم را به دست می آورد .

Remote disk read : مهاجم در شبکه دسترسی به فایل های غیر قابل دسترسی که به صورت محلی در میزبان ذخیره می شود را به دست می آورد .

Remote disk write : مهاجم در شبکه نه تنها دسترسی به فایل های غیر قابل دسترسی که به صورت محلی بر روی میزبان ذخیره می شود را به دست می آورد ، بلکه می تواند آنها را نیز تغییر دهد.

 

تهیه کننده: سید محمد اسماعیلی 

نوشته های مرتبط

Seedworm Malware

۲۲

آذر
آسیب پذیری ها, امنیت, هک و امنیت, همه موضوعات

گزارش باج افزار Seedworm

باج افزار و بدافزار Seedworm :  هدف بدافزار  Seedworm :گروه های سازمانی، آژانس های دولتی، نفت و گاز، سازمان های غیر دولتی، مخابرات، و شرکت های فناوری اطلاعات است. محققان سیمانتک یک گروه جاسوسی سایبری در حملات اخیر سایبری کشف کرده اند که هدف آنها جمع آوری اطلاعات در مورد اهداف گسترش یافته در درجه اول در خاورمیانه […]

Docker

۲۲

آذر
همه موضوعات

نحوه نصب Docker در اوبونتو ۱۸٫۰۴ LTS

نحوه نصب و استفاده از Docker در اوبونتو ۱۸٫۰۴ LTS برای انجام مجازی سازی کامل سیستم نیاز به حافظه و فضای دیسک کافی خواهید داشت Docker یک سیستم مخزنی است . یک ماشین مجازی داکر را می توان یک مخزن هم نام برد . داکر از هسته سیستم عامل میزبان استفاده می کند و از ویژگی های[…]