معرفي سيستم هاي تشخيص نفوذ IDS و انواع آن

0 1,387
Telegram_GEEKBOY

معرفي سيستم هاي تشخيص نفوذ IDS و انواع آن

مهاجمان یا هكرها هميشه به دنبال حمله كردن به شبكه ها هستند . بهينه سازي و ايمن سازي تنظيمات سيستم از دسترسي آسان هكرها به شبكه ها تا حد زيادي جلوگيري مي كند. سيستم هاي تشخصي نفوذ (IDS: Intrusion Detection Systems) ، فايروال ها ( Firewalls) و هاني پات يا ظرف عسل ( Honey pot) از فناوري هايي هستند كه مي توانند از بروز حملات هكري به شبكه ها تا حد زيادي جلوگيري كنند. يك IDS يا سيستم تشخيص نفوذ ، كليه فعاليت هاي موجود بر روي شبكه را تجزيه و تحليل كرده و با استفاده از اطلاعات موجود بر روي پايگاه داده خود تعيين مي كند كه فعاليت انجام شده مجاز است يا غير عادي و غير مجاز است و همچنين تعيين مي كند كه آيا اين فعاليت مي تواند آسيبي به شبكه شما وارد كند يا خير و در نهايت به شما در مورد اينگونه فعاليت ها اطلاع رساني مي كند. اين اطلاع رساني معمولا از طريق ارسال آلارم (alarm) يا هشدار به مدير سيستم انجام مي شود. يك IDS در حقيقت يك نوع Packet-Sniffer محسوب مي شود بطوري كه كليه Packet هاي ارسالي و دريافتي در شبكه را دريافت كرده و آنها را تجزيه و تحليل مي كند، اين سيستم توانايي فعاليت با انواع پرتكل هاي ارتباطي در شبكه را داراست به ويژه توانايي فعاليت با پروتكل Tcp/IP

روش هاي تشخيص نفوذ
بصورت كلي 3 روش براي شناسايي و تشخيص نفوذ به شبكه وجود دارد كه به شرح زير هستند :
1.شناسايي امضاء يا (Signature): در اين روش كه همانند كاري است كه يك آنتي ويروس انجام مي دهد، IDS داراي يك پايگاه داده است كه در آن نوع و روش فعاليت برخي از حملات مشخص شده اند، به محض اينكه IDS ترافيكي را تشخصي دهد آنرا با اطلاعات پايگاه داده مربوطه مقايسه كرده و در صورت بروز تطابق اعلام هشدار مي كند.

2.تشخيص رفتار غير عادي (Anomaly): در اين نوع از انواع IDS سيستم با توجه به رفتاري كه در شبكه عادي وجود دارد و ترافيكي كه در اثر يك عمل غير عادي ايجاد شده است و با توجه به بررسي هاي خود و مقايسه ترافيك طبيعي و غيرعادي تصميم مي گيرد كه در مورد اين نوع ترافيك هشدار دهد یا نه.

3.تشخيص پرتكل غيرعادي (Anomaly Protocol): در اين نوع تشخصي مدل ها بر اساس مشخصات پرتكل TCP/IP تجزيه و تحليل مي شوند و در صورت مشخص شدن تغييرات در مشخصات اين پروتكل سيستم هشدار فعال مي شود.

معرفي سيستم هاي تشخيص نفوذ IDS و انواع آن

انواع سيستم هاي تشخيص نفوذ
1.سيستم هاي تشخيص نفوذ تحت شبكه (Network Based IDS): اينگونه از سيستم ها مانند يك جعبه سياه هستند كه در شبكه قرار گرفته و كارت شبكه آنها در حالت بي قيد (Promiscuous) قرار مي گيرد و كليه ترافيك شبكه را دريافت و تجزيه و تحليل مي كند. مانند نرم افزار SNORT در سيستم عامل لينوكس.

2.سيستم هاي تشخيص نفوذ ميزبان (Host Based IDS): اينگونه از سيستم ها با استفاده از مميزي (audit) كردن فايل هاي Log مربوط به يك رخداد بر روي هر سيستم فعاليت مي كنند و اين رويداد ها را تجزيه و تحليل مي كنند. از اينگونه از سيستم ها به دليل ايجاد بار كاري زياد براي هر سيستم (CPU) معمولا كمتر استفاده مي شود. نرم افزار اينگونه سيستم تشخصي نفوذ بصورت تك به تك بر روي تمامي سيستم ها نصب مي شود و بصورت مجزا فعاليت مي كنند. مانند نرم افزار CSA: Cisco Security Agent.

3.پايش فايل هاي Log File Monitoring: در اين نوع سيستم از كليه رخداد هاي (Event) هاي روي سيستم هاي شبكه Log ‌برداري مي شود و همه اين Log ها به يك سرور بر روي شبكه منتقل شده و از طريق آن مورد تجزيه و تحليل قرار مي گيرند.

4.چك كردن صحت و كامل بودن فايل (File Integrity Checker): اينگونه سيستم ها معمولا براي تشخيص انواع تروجان و نرم افزارهايي بكار مي رود كه باعث ايجاد تغييرات بر روي سيستم مي شوند، در اين روش از هر فايل بر روي سيستم يك هش (Hash) گرفته مي شود و در داخل يك پایگاه داده مركزي نگهداري مي شود و در صورت بروز مشكل اين Hash با Hash فايل جديد مقايسه مي شود و در صورت عدم تطابق اعلام اخطار مي شود . ماننده نرم افزار Tripwire كه از نوع SIV: System Integrity Verifier مي باشد.

ارسال یک نظر

آدرس ایمیل شما منتشر نخواهد شد.

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.