دستورالعمل تدوین مقالات دانشنامه پلیس
ساختار شیوه نامه مقالات دانشنامه (جدید)
فرم امتیازدهی مقالات دانشنامه
فرم ارزیابی مقالات دانشنامه
تقویم سال
آمار بازدیدکنندگان
بازدید این صفحه : 94924
بازدید امروز : 5001
کل بازدید : 3882671
بازدیدکنندگان آنلاين : 4
بارگزاری صفحه : 1.14

ثانیه

فناوری اطلاعات و ارتباطات





سامانه تشخیص نفوذ           (IDS) Intrusion  Detection  System

نفوذ به مجموعه اقدامات غیرقانونی است که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر می‌اندازد. با این توصیف، سيستم تشخیص نفوذ، وظیفه شناسایی و تشخیص هر گونه استفاده غیرمجاز به سیستم، سوء استفاده و یا آسیب رسانی توسط کاربران داخلی و خارجی را بر عهده دارد. تشخیص و جلوگیری از نفوذ امروزه به عنوان یکی از سازوکارهای اصلی در تامین امنیت شبکه‌ها و سیستم‌های رایانه‌ای مطرح است و عمومأ در کنار دیواره‌های آتش و به صورت مکمل امنیتی برای آنها مورد استفاده قرار می‌گیرند (1).

نفوذها می‌توانند به دو دسته داخلی و خارجی تقسیم شوند. نفوذهای خارجی به آن دسته نفوذهایی گفته می‌شود که توسط افراد مجاز و یا غیرمجاز از خارج شبکه به درون شبکه داخلی صورت می‌گیرد و نفوذهای داخلی توسط افراد مجاز در سیستم و شبکه داخلی، از درون خود شبکه انجام می‌پذیرد. نفوذگرها عموماً از عیوب نرم‌افزاری، شکستن کلمات رمز، شنود میزان تردد در شبکه و نقاط ضعف طراحی در شبکه، سرویس‌ها و یا کامپیوترهای شبکه برای نفوذ به سیستم‌ها و شبکه‌های رایانه‌ای بهره می‌برند.

سيستم تشخیص نفوذ، یک سیستم محفاظتی است که خرابکاری های در حال وقوع بر روی شبکه را شناسایی می کند. روش کار به این صورت است که با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات، پویش پورت ها، به دست آوردن کنترل رایانه ها و نهایتاً نفوذ کردن می باشد، می تواند نفوذ خرابکاری ها را گزارش و کنترل کند. در واقع می توان گفت، سیستم های تشخیص نفوذگر، سیستم هایی هستند که به ردیابی نفوذ ها علیه تجهیزات موجود در شبکه و گزارش حملات مربوطه می پردازند و علاوه بر سد کردن راه این نفوذها به کاربر اطلاعات مناسب در مورد نوع نفوذ، زمان و شخص نفوذگر می دهند. سیستم های IDS دارای یک بانک اطلاعاتی کامل راجع به انواع نرم افزار های مخرب، نحوه عملکرد آنها، ساختار بسته های آنها و پورتی که معمولاً جهت اتصال استفاده می کنند، می باشند که به سیستم این امکان را می دهد که از نفوذ به داخل سیستم جلوگیری نماید. ضمنا معمولا یک نفوذگر قبل از شروع به نفوذ جهت کسب اطلاعات از وضعیت امنیتی سیستم هدف، اقدام به انجام عملیاتی خاص میکند. به عنوان مثال، اولین کاری که معمولاً نفوذگران انجام می دهند عملیات بررسی پورت ها است که جهت کسب اطلاعات راجع به پورت های باز و بسته سیستم هدف و اینکه اگر یک پورت باز است چه سرویسی روی آن سیستم فعال می باشد، صورت می گیرد (2).

از دید یک سیستم IDS اگر یک شخصی تعداد زیادی اتصال در مدتی کوتاه به پورت های یک سیستم داشته باشد به عنوان یک نفوذگر که عملیات پویش پورت را انجام می دهند، شناخته می شود. در نتیجه این سیستم گزارشی از عملکرد، موقعیت نفوذگر و همچنین آدرس IP وی را به نحوی به مدیر شبکه ارسال می کند.

مدیران شبکه با بررسی وضعیت گزارش های نفوذ می توانند تدابیر خاص خود را در نظر گرفته و در صورت مشخص بودن موقعیت شخص نفوذگر نسبت به طی مراحل قانونی جهت جلوگیری از نفوذهای بعدی و احیاناً جبران خسارت اقدام کنند.

سیستم IDS به صورت یک ابزار در شبکه (مانند یک مسیریاب یا سوییچ) با نرم افزاری که کار کنترل و نظارت ترافیک عبوری را انجام می دهد، نصب می شود.

IDS را در جایگاه خوبی برای تشخیص موارد زیر آورده است:

·         حملات شناخته شده از طریق امضاء ها و قوانین؛

·         تغییرات در حجم و جهت ترافیک با استفاده از قوانین پیچیده و تحلیل آماری؛

·         تغییرات الگوی ترافیک ارتباطی با استفاده از تحلیل جریان؛

·         تشخیص فعالیت غیر عادی با استفاده از تحلیل انحراف معیار؛

·         تشخیص فعالیت مشکوک با استفاده از تکنیک های آماری، تحلیل جریان و تشخیص خلاف قاعده؛ 

روش‌های متعددی تحت عنوان روشهای تشخیص نفوذ ایجاد گردیده‌است که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکه رایانه‌ای را بر عهده دارد. روش‌های تشخیص مورد استفاده در سیستم ‌های تشخیص نفوذ به دو دسته تقسیم می‌شوند:

1- روش تشخیص رفتار غیر عادی ( Anomaly Detection)

2- روش تشخیص سوءاستفاده ( Misuse Detection)

در روش تشخیص رفتار غیرعادی، یک نما از رفتار عادی ایجاد می‌شود. یک ناهنجاری ممکن است نشان دهندهٔ یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل شبکه‌های عصبی، تکنیک‌های یادگیری ماشین و حتی سیستم‌های ایمنی زیستی استفاده می‌شود. برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آن‌ها پیدا کرد. رفتارهایی که از این الگوها پیروی می‌کنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده می‌شود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع می‌پیوندد، غیرعادی فرض می‌شود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا رایانه‌ای که در ساعت ۲:۰۰ بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد می‌تواند به عنوان یک رفتار غیر عادی در نظر گرفته شود (3).

در روش تشخیص سوءاستفاده، الگوهای نفوذ از پیش ساخته شده (امضاء) به صورت قانون نگهداری می‌شوند. به طوری که هر الگو انواع متفاوتی از یک نفوذ خاص را در بر گرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام می‌شود. در این روش‌ها، معمولاً تشخیص دهنده دارای پایگاه داده‌ای از امضاءها یا الگوهای حمله‌است و سعی می‌کند با بررسی ترافیک شبکه، الگوهای مشابه با آن چه را که در پایگاه دادهٔ خود نگهداری می‌کند، بیابد. این دسته از روش‌ها تنها قادر به تشخیص نفوذهای شناخته شده می‌باشند و در صورت بروز حملات جدید در سطح شبکه، نمی‌توانند آن‌ها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سیستم  تشخیص نفوذ اضافه کند. از مزایای این روش دقت در تشخیص نفوذهایی است که الگوی آن‌ها عیناً به سیستم داده شده‌است.

کلید واژه ها

 سیستم، تشخیص نفوذ، تشخیص رفتار غیر عادی، تشخیص سوءاستفاده.

ارجاعات

1-     حمیدی، آلاله، ضیایی، سیده مارال. معرفی سیستم ‌های تشخیص نفوذ (قسمت اول). آزمایشگاه آپا. دانشگاه فردوسی مشهد.1391.

2-     آشنایی با مفاهیم فناوری اطلاعات و سیستم های جامع ناجا. انتشارات؛ معاونت تربیت و آموزش ناجا. 1390.

3-     مجموعه مستندات سیستم های جامع ناجا، معاونت فاوا. اداره کل فناوری اطلاعات. 1392.

 





نظر شما :