سيستمهاي تشخيص نفوذ كامپيوتري
براي دانلود نسخه رايگان از لينك زير اقدام كنيد:
۱٫ابتدا برروي دكمه پرداخت كليك كنيد
۲٫ در صفحه بعد با وارد كردن نام و آدرس ايميل
براي پرداخت و دريافت فايل ورد با قابليت ويرايش از لينك زير اقدام كنيد:
قسمتي از متن اصلي در زير آورده شده است:
فصل ۱:مفاهیم مقدماتی سیستم های تشخیص نفوذ
چکیده:…………………………………………………………………………………………………………………………۱
مقدمه:…………………………………………………………………………………………………………………………..۲
انواع حملات شبکه:…………………………………………………………………………………………………………۲
۱-۲-۱-انواع حملات شبکه ای باتوجه به طریقه حمله………………………………………………………..۲
۱-۲-۲- انواع حملات شبکه ای باتوجه به حمله کننده…………………………………………………………..۴
۱-۳- مکملهای سیستم های تشخیص نفوذ دربرقراری امنیت……………………………………………۴
۱-۳-۱- دیواره آتش…………………………………………………………………………………………………….۵
۱-۳-۲- سازوکارهای رمزنگاری وتایید هویت……………………………………………………………….۶
۱-۳-۳- لیست های کنترل دسترسی……………………………………………………………………………..۶
۱-۴- انواع سیستم های تشخیص نفوذ…………………………………………………………………………..۶
۱-۴-۱- سیستم های مبتنی برمیزبان…………………………………………………………………………..۷
۱-۴-۲- سیستم های تشخیص نفوذ مبتنی برشبکه………………………………………………………..۸
۱-۴-۳- سیستم های توزیع شده………………………………………………………………………………۱۱
۱-۵- انواع روش های تشخیص حمله……………………………………………………………………………۱۵
۱-۵-۱- روش های مبتنی برامضا…………………………………………………………………………………۱۵
۱-۵-۲- روش های تشخیص حمله مبتنی بر ناهنجاری…………………………………………………..۱۶
۱-۵-۳- روش های متنی بر تحلیل حالت پروتکل ارتباطی……………………………………………….۱۸
۱-۶- تکنولوزی های سیستم های تشخیص نفوذ……………………………………………………………۱۹
۱-۶-۱- اجزای سامانه های تشخیص نفوذ……………………………………………………………………..۲۰
۱-۶-۲- ساختاروهمبندی اجزای سیستم تشخیص نفوذ……………………………………………….۲۱
۱-۶-۳- عملکرد امنیتی سیستم های تشخیص نفوذ……………………………………………………۲۱
۱-۶-۴- قابلیت های مدیریتی ابزارهای تشخیص نفوذ……………………………………………….۲۴
برای ارتباط بین سیستم های تشخیص نفوذ……………………………..۲۷IDMEF1-7- چارچوب
۱-۸- جمع بندی…………………………………………………………………………………………………………۲۸
فصل ۲:معماری ابزارهای تشخیص نفوذ
۲-۱- مقدمه……………………………………………………………………………………………………………… ۳۰
……………………………………………………….۳۱Bro2-2- بررسی ویزه گی های ابزار تشخیص نفوذ
………………۳۱Bro2-2-1- اعمال سیاست های امنیتی ازطریق زبان برنامه نویسی نسخه ای
……………………………………………………………………………………..۳۱Bro2-2-2- اجزای سیستم
۲-۳- معرفی ابزار اسنورت………………………………………………………………………………………….۴۱
۲-۳-۱- اجزای تشکیل دهنده اسنورت…………………………………………………………………….۴۳
۲-۴- بررسی عملکرد اسنورت………………………………………………………………………………….۴۴
۲-۴-۱- قوانین اسنورت………………………………………………………………………………………..۴۵
۲-۴-۲- بارگزاری اولیه اسنورت……………………………………………………………………………..۴۷
۲-۴-۳- تجزیه وتحلیل منطقی قوانین…………………………………………………………………۴۷
۲-۴-۴- دریافت سیگنال ها وفرامین درحین اجرای برنامه…………………………………….۴۹
۲-۴-۵- مراحل پردازش برمبنای بسته ها دراسنورت…………………………………………………۴۹
جمع بندی………………………………………………………………………………………………………………………۵۲
منابع…………………………………………………………………………………………………………………………….۵۳
فهرست شکل ها
بااستفاده ازحسگرهای برخط…………………………………………………………………..۱۰IDSشکل(۱-۱) جایگذاری
های توزیع شده بااستفاده بااستفاده ازحسگرهای بی اثروباامکان توزیع بار…………۱۱IDSشکل(۱-۲)معماری
شکل(۱-۳)معماری انواع سیستمهای تشخیص نفوذ توزیع شده…………………………………………………………۱۴
………………………………………………………………………………………………………………۳۲BROشکل(۲-۱) معماری
وفراخوانی مدیریت کننده رخدادهای مربوطه……………………………………..۳۶BROشکل(۲-۲)رخداد ها در
………………………………………………………………………………..۳۹BROشکل(۲-۳) ارتباط بین برنامه های نظیر
در حالت خوشه ای………………………………………………………………………………۴۰BROشکل(۲-۴)بکارگیری
شکل (۲-۵) معماری اسنورت…………………………………………………………………………………………………………۴۲
شکل(۲-۶) ساختارداده های قوانین اسنورت ونحوه دسته بندی درحافظه…………………………………………..۴۸
چکیده
از آنجایی که از نظر تکنیکی ایجاد سیستم های کامپیوتری بدون نقاط ضعف و شکست امنیتی عملاٌ غیر ممکن است، تشخیص نفوذ در تحقیقات سیستم های کامپیوتری با اهمیت خاصی دنبال می شود . سیستم تشخیص نفوذ سخت افزار و یا نرم افرازی است که کار نظارت بر شبکه کامپیوتری را در مورد فعالیت های مخرب و یا نقض سیاست های مدیریتی و امنیتی را انجام می دهد و گزارش های حاصله را به بخش مدیریت شبکه ارائه می دهد . سیستم های تشخیص نفوذ وظیفه شناسایی و تشخیص هر گونه استفاده غیر مجاز به سیستم ، سوءاستفاده و یا آسیب رسانی توسط هر دو دسته کاربران داخلی و خارجی را بر عهده دارند . هدف این سیستم ها جلوگیری از حمله نیست و تنها کشف و احتمالاٌ شناسایی حملات و تشخیص اشکالات امنیتی در سیستم یا شبکه های کامپیوتری و اعلام آن به مدیر سیستم است . عموما سیستم های تشخیص نفوذ در کنار دیوارهای آتش و به صورت مکمل امنیتی برای آنها مورد استفاده قرار می گیرند .
سیستم های تشخیص نفوذ عملاٌ سه وظیفه کلی را بر عهده دارند : پایش (نظارت و ارزیابی)، تشخیص نفوذ و پاسخ؛ هر چند که پاسخ در مورد این سیستم ها عموماٌ به ایجاد اخطار ، در قالب های مختلف ، محدود می گردد .
هدف از این سمینار بررسی معماری سیستم های تشخیص نفوذ و روش های عملکرد آنها با اهداف ارائه مشخصات یک سیستم تشخیص نفوذ ایده آل است . بهمین منظور روش ها و الگوریتم های مختلف تشخیص نفوذ در شبکه های کامپیوتری مورد بررسی قرار می گیرند و معماری های مربوط به چند سیستم تشخیص نفوذ بررسی می شوند .
واژه های کلیدی : سیستم های تشخیص نفوذ ، اسنورت ، Bro
۱-۱- مقدمه
تشخیص نفوذ عبارت است از تحلیل بی درنگ داده های شبکه به منظور تشخیص و ثبت و اخطار به هنگام بروز حملات و یا اقدامات مخرب امنیتی . در عمل انواع مختلفی از روش های تشخیص حمله وجود دارد که با توجه به انواع مختلف اقدامات درون شبکه قادر هستند اقدامات مخرب و نفوذی را کشف کنند . در عین این سیستم ها از بخش های مختلفی تشکیل شده اند و به طرق مختلفی این اجزا می توانند در کنار هم قرار گیرند و عملکرد خاصی را ایجاد کنند .
در این فصل به ارائه چارچوب کلی در مورد امنیت شبکه و سیستم های کامپیوتری می پردازیم . ابتدا انواع حملات و تهدید های موجود در شبکه های کامپیوتری را طبقه بندی می کنیم و در مورد عوامل بروز حملات و تهدید ها بحث می کنیم . سپس به طبقه بندی روش های تشخیص نفوذ می پردازیم و مزایا و کارکردهای هر کدام را توضیح می دهیم . در ادامه به طبقه بندی سیستم های تشخیص نفوذ از حیث ساختار می پردازیم . در نهایت هم در مورد تکنولوژی های تشخیص نفوذ و کارکردهای مختلف این ابزارها در مدیریت و حفظ امنیت و نظارت بر شبکه های کامپیوتری بحث می کنیم .
۱-۲- انواع حملات شبکه
انواع حملات با توجه به حمله کننده به این شرح است :
۱-۲-۱- انواع حملات شبکه ای با توجه به طریقه حمله
یک نفوذ به شبکه معمولا یک حمله قلمداد می شود . حملات شبکه ای را می توان بسته به چگونگی انجام آن به دو گروه اصلی تقسیم کرد . یک حمله شبکه ای را می توان با هدف نفوذگر از حمله توصیف و مشخص کرد . این اهداف معمولا از کار انداختن سرویس (DOS[1])یا دسترسی غیر مجاز به منابع شبکه است .
· حملات از کار انداختن سرویس: در این نوع حملات ، مهاجم استفاده از سرویس ارائه شده توسط ارائه کننده خدمات برای کاربرانش را مختل می کند. در این حملات حجم بالایی از درخواست ارائه خدمات به سرور فرستاده می شود تا امکان خدمات رسانی را از آن بگیرد. در واقع سرور به پاسخگویی به در خواستهای بی شمار مهاجم مشغول می شود و از پاسخگویی به کاربران واقعی باز می ماند .
· حملات دسترسی به شبکه : در این نوع از حملات ، نفوذگر امکان دسترسی غیرمجاز به منابع شبکه را پیدا میکند و از این امکان برای انجام فعالیت های غیرمجاز و حتی غیرقانونی استفاده می کند . برای مثال از شبکه به عنوان مبدا حملات DOS خود استفاده می کند تا در صورت شناسایی مبدا ، خود گرفتار نشود . دسترسی به شبکه را می توان به دو گروه تقسیم کرد .
o دسترسی به داده : در این نوع دسترسی ،نفوذگر به داده موجود بر روی اجزاء شبکه دسترسی غیر مجاز پیدا می کند . حمله کننده می تواند یک کاربر داخلی یا یک فرد خارج از مجموعه باشد . داده های ممتاز و مهم معمولا تنها در اختیار بعضی کاربران شبکه قرار می گیرد و سایرین حق دسترسی به آنها را ندارند . در واقع سایرین امتیاز کافی را جهت دسترسی به اطلاعات محرمانه ندارند ، اما می توان با افزایش امتیاز به شکل غیر مجاز به اطلاعات محرمانه دسترسی پیدا کرد . این روش به تعدیل امتیاز یا Privilege Escalation مشهور است.
o دسترسی به سیستم : این نوع حمله خطرناک ترین و بدتر است و طی آن حمله کننده به منابع سیستم و دستگاه ها دسترسی پیدا می کند . این دسترسی میتواند شامل اجرای برنامه ها بر روی سیستم و به کارگیری منابع آن در جهت اجرای دستورات حمله کننده باشد . همچنین حمله کننده میتواند به تجهیزات شبکه مانند دوربین ، پرینترها و وسایل ذخیره سازی دسترسی پیدا کند . حملات اسب ترواها ، حمله تست همه حالات ممکن [۲] و یا استفاده از ابزارهایی جهت تشخیص نقاط ضعف یک نرم افزار نصب شده بر روی سیستم از جمله نمونه های قابل ذکر از این نوع حملات هستند .
فعالیت مهمی که معمولا پیش از حملات DOS و دسترسی به شبکه انجام میشود ، شناسایی یا reconnaissance است . یک حمله کننده از این فاز جهتی یافتن حفره های امنیتی و نقاط ضعف شبکه استفاده میکند . این کار میتواند به کمک بعضی ابزارها آماده انجام پذیرد که به بررسی پورتهای باز و در حال کار رایانه های موجود بر روی شبکه میپردازد و آمادگی آنها را جهت انجام حملات مختلف بر روی آنها بررسی میکنند .

۱-۲-۲- انواع حملات شبکه ای با توجه به حمله کننده
حملات شبکه ای را می توان با توجه به حمله کننده به چهار گروه تقسیم کرد :
· حملات انجام شده توسط کاربر مورد اعتماد (داخلی) : این حمله یکی از مهمترین و خطرناکترین نوع حملات است، چون از یک طرف کاربر به منابع مختلف شبکه دسترسی دارد و از طرف دیگر سیاستهای امنیتی معمولا محدودیتهای کافی درباره این کاربران اعمال نمی کنند .
· حملات انجام شده توسط افراد غیر معتمد (خارجی) : این معمولترین نوع حمله است که یک کاربر خارجی که مورد اعتماد نیست شبکه را مورد حمله قرار دهد. این افراد معمولا سخت ترین راه را پیش رو دارند زیرا بیشتر سیاستهای امنیتی درباره این افراد تنظیم شده اند.
· حملات انجام شده توسط مهاجم های بی تجربه : بسیاری از ابزارهای حمله و نفوذ بر روی اینترنت وجود دارند. در واقع بسیاری از افراد می توانند بدون تجربه خاصی و تنها با استفاده از ابزارهای آماده برای شبکه ایجاد مشکل کنند.
· حملات انجام شده توسط کاربران مجرب : مهاجم های با تجربه و حرفه ای در نوشتن انواع کدهای خطرناک متبحرند. آنها از شبکه و پروتکل های آن و همچنین از انواع سیستم های عامل آگاهی کامل دارند. معمولا این افراد ابزارهایی تولید می کنند که توسط گروه اول به کار گرفته می شوند. آنها معمولا پیش از هر حمله، آگاهی کافی درباره هدف خود و آسیب پذیری های آن کسب می کنند.
۱-۳- مکمل های سیستم های تشخیص نفوذ در برقراری امنیت
همانطور که گفته شد؛ سیستم های تشخیص نفوذ به عنوان یکی راه کارهای برقراری امنیت در شبکه های کامپیوتری مورد استفاده قرار می گیرند. به عبارت دیگر این سیستم ها یکی از فناوری های مورد استفاده برای برقراری امنیت هستند و از گذشته سیستم های دیگری به صورت مکمل در کنار این سیستم ها برای برقراری امنیت مورد استفاده می شدند که هر کدام جایگاه خاصی در برقراری امنیت دارند؛ در اینجا به معرفی دیواره آتش، سازوکارهای رمزنگاری و تأیید هویت و نیز لیست های کنترل دسترسی می پردازیم[۱]:
۱-۳-۱- دیواره آتش
دیواره آتش به عنوان یکی از قدیمی ترین و شناخته شده ترین راه حل های مقابله با نفوذ در بکه های کامپوتری مورد استفاده قرار گرفته است. دیواره آتش می تواند براساس تنظیمات مدیر سیستم، انواع سیاست های امنیتی را اعمال کند؛ از جمله تعیین جریان های مجاز، تعیین امکان برقراری ارتباطات از بیرون شبکه و نیز تعیین سرویس های مجاز برای کاربران خارج از شبکه. در حالت کلی دو نوع سیاست عمده در دیواره های آتش مورد استفاده قرار می گیرد:
· امکان عبور به ارتباطاتی که به طور صریح منع نشده اند.
· جلو گیری از تمام ارتباطات و جریان ها مگر آن هایی که به طور صریح برای آن ها مجوز وجود دارد
نوع دوم بیشتر مورد استفاده است ولی با وجود استفاده از چنین سیاستی حمله کننده می تواند از همین روزنه های تعریف شده به سیستم آسیب برساند. برای مثال دیواره آتشی که اجازه عبور ترافیک وب را بر روی پورت ۸۰ میدهد؛ این امکان را فراهم می کند تا حمله کننده در پوشش ترافیک وب با ایجاد ارتباطات زیاد بافر سرور را پر کند و یا با مشغول کردن منابع آن امکان سرویس دهی آن را از بین ببرد؛ چیزی که به عنوان حملات جلوگیری از سرویس دهی یا Dos شناخته می شود.
یکی از تفاوت های دیگری که بین سیستم های تشخیص نفوذ و دیواره های آتش وجود دارد این است که دیواره آتش معمولا در نقطه دسترسی شبکه قرار می گیرد و جریان های وارد شونده و یا خارج شونده از شبکه در صورت امکان از آن عبور می کنند. این در حالی است که سیستم های تشخیص نفوذ به عنوان اجزایی منفعل در شبکه عمل می کنند و مسئولیت پاسخدهی مربوط به سیستم های پاسخ در برابر حمله است (این پاسخ براساس معیارهای مختلف به منظور بهینه سازی پارامترهای در دسترس بودن سیستم برای کاربران در مقابل حفظ امنیت آن، پاسخ مورد نظر در مقابل اقدامات مشکوک را تعیین می کنند). سیستم های تشخیص نفوذ با حسگرهای خود ترافیک شبکه را پویش می کنند و انواع محدودی از آنها وجود دارند که برای کاربری در نقاط دسترسی شبکه مثل مسیریاب ها مورد استفاده قرار می گیرند.
یکی از روش هایی که سیستم های تشخیص نفوذ به همراه دیواره آتش مورد استفاده قرار می گیرند این است که حسگر در نقاط خارج از شبکه قبل از دیواره آتش، در ناحیه به اصطلاح «غیر نظامی[۳]» قرار گیرند و تمام ارتباطات وارد شونده به شبکه را پویش کنند. همچنین سیستم تشخیص نفوذ می تواند ارتباطات درون شبکه را پویش کند و براساس رخدادهای در جریان سیاست های امنیتی دیواره آتش را تعیین کند.
۱-۳-۲- سازوکارهای رمزنگاری و تایید هویت
رمزنگاری یکی از معمول ترین و موثرترین راه کارهای حفظ امنیت اطلاعات می باشد. این مکانیزم قادر است انتقال نقطه به نقطه مطمئن را برای اطلاعات فراهم کند. این انتقال می تواند بین کلاینت ها و یا سرور ها و مسیر یاب ها نیز باشد. با این حال رمزنگاری نمی تواند به تنها راه حفظ امنیت بدل شود.
فرض کنید یک سرور وب با استفاده از رمز نگاری قصد حفظ امنیت را داشته باشد(با استفاده از پروتکل لایه انتقال SSL). این رمزنگاری برای کاربرانی که فقط قصد مرور صفحات را دارند کاری بی فایده خواهد بود . از طرفی خطرات دیگری این سرور را تهدید می کند. با پیدا شدن یک شکاف امنیتی در شبکه اطلاعات موجود در دیسک می توانند در معرض تهدید حمله کننده واقع شوند. همچنین در مورد حملات Dos سیستم بی دفاع است. در مورد مکانیزم های تصدیق هویت هم باید گفت استفاده از رمز عبور نمی تواند در مورد کاربرانی که رمز عبور ضعیف دارندخیلی کارساز باشد.
۱-۳-۳- لیست های کنترل دستی
لیست های کنترل دستی مجموعه قوانینی هستند که دیواره های آتش و مسیر یاب ها برای محدود کردن عبور ترافیک و دسترسی خاص مورد استفاده قرار می دهند. این لیست ها به تنهایی قابلیت مقابله با حملات را ندارند؛ بلکه براساس سیاست امنیتی می توان این لیست ها را به دیواره آتش و مسیر یاب ها اعمال کرد و براساس آن می توان جلو دسترسی محدوده خاصی از آدرس های IP را به سرویس های خاص گرفت. همچنین دیواره های آتش و مسیر یاب ها می توانند از طرف مدیر سیستم به نحوی پیکر بندی شوند که نسخه های گزارشی مربوط به فعالیت های انجام شده؛ ارتباطات بلوکه شده و دیگر هشدارهای صادره را ارائه کنند.
۱-۴-انواع سیستم های تشخیص نفوذ
سیستم های تشخیص نفوذ با توجه به نحوه کاربری و محل نصب و میزبان یا شبکه ای که از آن محافظت می کنند؛ می توانند مبتنی بر میزبان، شبکه یا بصورت توزیع شده عمل کنند.
۱-۴-۱- سیستم های مبتنی بر میزبان
این سیستم ها که به اختصار HIDS[4] نامیده می شوند؛ از یک میزبان در مقابل عملیات نفوذی و مخرب محافظت می کند.[۱] این سامانه محافظتی بر روی سیستم اجرا می شود و تمام فعالیت ها و فرایند های درون سیستم را کنترل می کند؛ HIDS می تواند واسط شبکه ای را نیز پویش کند و بر دسترسی هایی که از خارج به سیستم می شود؛ نظارت کند. HIDS بر روی خود سیستم اجرا می شود و از منابع خود سیستم مثل حافظه و پردازنده و ……. استفاده می کند .HIDS عمل کنترل دسترسی ها را انجام می کند و بررسی می کند که چه پردازه هایی از چه منابعی استفاده می کنند.برای مثال دسترسی یک برنامه با عنوان پردازشگر متن به اطلاعات حساس سیستم مثل رمز محل ذخیره عبور، یک اقدام مشکوک است. همین طور HIDS به بررسی مداوم وضعیت سیستم می پردازد و منابع سخت افزاری و اطلاعاتی سیستم را در مورد دسترسی و ویرایش توسط عوامل مشکوک بررسی می کند. امروزه بسیاری از برنامه های امنیتی تحت عنوان ضد ویروس برای حفظ امنیت سیستم کامپیوتری به کار می روند. این سیستم ها بیشتر وقت خود را صرف کنترل دسترسی پردازه ها می کنند. این که هر کدام از پردازه ها به چه منابعی می تواند و یا نباید دسترسی داشته باشد. یک HIDS می تواند سیاست های امنیتی خاص را بر روی سیستم اعمال کند و در مقابل حملات منجر به اشباع شدن منابع سیستم از آن محافظت کند.
در بسیاری از موارد حمله کننده عملیات نفوذ را در چند مرحله صورت می دهد(مهاجم ها). در بیشتر موارد هدف چنین مهاجم هایی تصاحب منابع سیستم است؛ به نحوی که نرم افزار خاصی را بر روی سیستم نصب کنند و یا تغییر مورد نظر خود را در اطلاعات سیستم ایجاد کنند. از نظر تئوری کشف تمام اقدامات نفوذی به این نحو امکان پذیر است. بسیاری از این اقدامات توسط سیستم های تشخیص نفوذ تحت شبکه (NIDS) کشف می شوند. سیستم هایHIDS در تکمیل کار NIDSسعی در کشف نفوذ های کشف نشده توسطNIDS دارند. به لحاظ تکنیکی راه حل های نرم افزاری برای ایجاد همکاری بین HIDSوNIDS امکان پذیر است.
عمل نظارت معمولا به این صورت انجام می شود که از تمام آبجکت های سیستمی مهم (به طور معمول آبجکت های سیستم فایل)یک نمونه درهم سازی شده[۵] تولید می شود و در یک پایگاه داده مطمئن ذخیره می شود. به مرور زمان با بررسی آن می توان فهمید که کدام یک از آبجکت های سیستم دچار تغییر ناخواسته شده اند. همچنینHIDS می تواند دسترسی به نقاط حساس سیستم را کنترل کند؛ به عنوان مثال قسمت های خاصی از فضای حافظه یا جدول فراخوانی های سیستمی مربوط به سیستم عامل.
۱-۴-۲- سیستم های تشخیص نفوذ مبتنی بر شبکه
این سیستم ها که به اختصار NIDS نامیده می شوند در بستر شبکه فعالیت می کنند و با پویش ترافیک شبکه و تحلیل آن در تمام لایه های مختلف شبکه، به دنبال کشف نشانه های اقدامات نفوذی و یا حملات هستند [۱]. انواع حملاتی که به در سطح شبکه می توانند وجود داشته باشند شامل حملات Dos،حملات پویش پورت[۶] هستند.این سیستم ها معمولا ترافیک ورودی و یا خروجی از نقطه دسترسی شبکه را پویش می کنند. معمولا این سیستم ها از چندین حسگر نقاط مختلف برای دریافت ترافیک شبکه برخوردارند . ویژگی های دریافت شده از این ترافیک به پایگاه مرکزی تحلیل فرستاده می شود تا براساس روش های مختلف تشخیص نفوذ، اقدامات نفوذی آشکار شوند.
· اجزای تشکیل دهنده سیستم های تشخیص نفوذ مبتنی بر شبکه
اجزای اصلی این سیستم ها عبارتند از حسگر، سرور مدیریت و تحلیل، سرور پایگاه داده، چندین واسط کاربری و سرورهای پایگاه داده. حسگر جزئی است که ترافیک شبکه مربوط به یک یا چند بخش را پویش می کند. واسط شبکه ای حسگرها طوری پیکربندی شده که تمام بسته های دریافتی را بدون در نظر گرفتن آدرس مقصد دریافت می کند. تمام حسگرها در یکی از این دو نوع هستند :
۱) نوع مبتنی بر سخت افزار: این نوع حسگر شامل سخت افزار خاص منظوره طراحی شده به همراه نرم افزار اجرا شوند بر روی آن است. سخت افزار برای استفاده جهت کاربرد حسگر بهینه سازی شده است و کارت های واسط شبکه ای خاصی بر روی آن ها قرار گرفته که تمام ترافیک عبوری را دریافت می کند. این افزارها معمولا شامل سیستم عاملی هستند که بصورت مستقیم توسط مدیر سیستم مورد دسترسی نیست؛ ولی واسط نرم افزاری مناسب امکان ارتباط با کاربر و بخش های دیگر سیستم تشخیص نفوذ را فراهم می کند.
۲) نوع مبتنی بر نرم افزار: ابزار تشخیص نفوذ به عنوان یک نرم افزار عرضه می شود. در این حالت ممکن است نرم افزار به همراه سیستم عامل مربوط به آن ارائه شود یا آنکه نرم افزار قابل نصب بر روی سیستم عامل های همه منظوره باشد. بسیاری از ابزارهای تشخیص نفوذ در این حالت قابل پیکربندی هستند.
· معماری شبکه ای و جایگذاری حسگرها
برای نصب سیستم؛ ابتدا باید تصمیم گرفته شود که شبکه مدیریت راه اندازی شود یا آنکه ارتباطات سیستم مدیریت و تشخیص نفوذ؛ بر روی بستر شبکه اصلی صورت پذیرد. بعد از این مرحله باید در مورد حالت کاری حسگرها تصمیم گیری شود. حسگرهای IDS می توانند در حالت بی اثر[۷]یا بر خط [۸]پیکربندی شوند.
o حالت بر خط
در این حالت حسگر به نحوی پیکربندی می شود که کل ترافیک شبکه مربوط به آن باید از آن گذر کند. به این منظور حسگر دارای دو واسط شبکه ای است؛ یکی برای ورود ترافیک و یکی برای خروج ترافیک. بیشتر حسگرهای دارای این قابلیت به عنوان یک ابزار میانی با ویژگی های «دیوار آتش» و «سیستم تشخیص و جلو گیری از نفوذ[۹]»شناخته می شوند. این ابزارها قابلیت بلوکه کردن ترافیک مربوط به حمله را دارا می باشند. به علت عبور ترافیک از این حسگرها باید قابلیت های سخت افزاری و نرم افزاری آن به نحوی باشد که به گلوگاه بهره وری تبدیل نشود. بر طبق پیشنهاد بنیاد بین المللی استاندارد و فناوری[۱] توپولوژی زیر برای همبندی اجزای سیستم های تشخیص نفوذ تحت شبکه پیشنهاد شده است. در این ساختار حسگرIDS بعد از درگاه شبکه اینترنت عمومی و دیواره آتش قرار می گیرد. این حسگر دو واسط شبکه ای برای ورود و خروج ترافیک و نیز یک واسط برای ارتباط با شبکه مدیریت دارد. با وجود دیواره آتش بعد از تشخیص نفوذ امکان اعمال سیاست های مسدود سازی برای محدوده آدرسIP خاص در دوره های زمانی مشخص وجود دارد. همچنین حسگرIDS به محض تشخیص حمله امکان پاسخ سریع و بلوکه کردن آن را دارد. مدیریت و پیکربندی حسگرهایIDS از طریق سرور مرکزی مدیریت انجام می شود. دسترسی به این سرور و انجام پیکربندی های مدیریتی نیز معمولا از طریق کنسول های کاربری بر روی سیستم های دیگر صورت می پذیرد. این سیستم همچنین می تواند دارای پایگاه داده باشد.
حالت بی اثر
در این حالت حسگرها یک کپی از ترافیک واقعی شبکه رو پویش می کنند و امکان بلوکه کردن مستقیم ترافیم را ندارند. بیشتر سوئیچ های شبکه دارای یک درگاه به نام درگاه پوشان هستند که تمام ترافیک مربوط به همه درگاه ها روی آن قرار داده می شود. با اتصال واسط شبکه ای IDS به این درگاه امکان دسترسی به تمام ترافیک شبکه وجود دارد. همچنین امکان انشعاب مستقیم از لینک ارتباطی وجود دارد(Tap Network). در حسگرهای تشخیص نفوذ می توانند در نقاط کلیدی شبکه و در ورودی قسمت های مختلف قرار گیرند. از جمله جاهای مهم عبارتند از : بعد از دیواره آتش، در ابتدای ناحیه غیر نظامی[۱۰] و همچنین در ورودی شبکه داخلی. ناحیه غیر نظامی زیر شبکه منطقی یا فیزیکی است که شامل سرویس دهنده هایی مانند وب، ایمیل و ….. به شبکه اینترنت خارجی است. برای دسترسی به این سرویس ها امکان ایجاد ارتباط از خارج شبکه نیاز است؛ که این مساله موجب ایجاد آسیب پذیری در مورد حملات می شود. با جدا کردن این ناحیه از بقیه شبکه داخلی سازمان توسط دیواره آتش مجزا، از شبکه داخلی سازمان در مورد حملات و نفوذهای احتمالی حفاظت می شود. در حالت کلی می توان گفت سطح امنیتی و سیاست امنیتی این ناحیه نسبت به شبکه داخلی متفاوت و پایین تر است؛ به همین خاطر به آن ناحیه غیر نظامی گفته می شود.
امکان توزیع ترافیک بین حسگرها در نقاطی که ترافیک عبوری سنگین دارند؛ با استفاده از تسهیم کننده
ترافیک وجود دارد. این ویژگی در سیستم های شبکه ای توزیع شده به تفصیل مورد بررسی قرار می گیرد.
مانند حالت قبل هر کدام از حسگرها خواه با استفاده از شبکه مدیریت یا با استفاده بستر شبکه اصلی با سرورهای مدیریت ارتباط برقرار می کنند. در این سیستم ها انتخاب پاسخ مناسب برای حمله در سرور مدیریت اتفاق می افتد که سیسات مربوطه می تواند از طریق دیواره آتش اعمال شود.
۱-۴-۳- سیستم های توزیع شده
امروزه با روند افزایش پهنای باند شبکه ها و نیاز به پویش بی وقفه این داده ها، سیستم های تشخیص نفوذ تحت شبکه هم باید همگام با آن ها توسعه پیدا کنند. امروزه روشهای معماری های متمرکز مبتنی بر شبکه جوابگوی شبکه های امروزی نیست. [۲] این روش ها برای تشخیص حملات چند مرحله ای و نگهداری وضعیت انواع ارتباطات و نیز مراودات پروتکلی در جریان؛ به خاطر وجود یک نقطه سرویس دهی، سیستم دچار کوبیدگی و افت گذردهی می شود. الگوریتم های تشخیص نفوذ مبتنی بر یک سری قوانین هستند که به سرعت در حال بزرگ شدن هستند. ایجاد IDS های توزیع شده نیاز به تمهیداتی برای معماری شبکه ای، نرم افزار مناسب برای عملکرد توزیع شده و تقسیم ترافیک شبکه بین بخش های موازی دارد.
برای عملکرد IDS های توزیع شده، دو نوع تکنیک مطرح وجود دارد: تقسیم ترافیک[۱۱] و متعادل کردن بار[۱۲][۲]. روش های مبتنی بر تقسیم ترافیک بیشتر براساس جریان های داده ای و سیاست های امنیتی و ساختارIDS با این هدف ها کار می کنند:
· بسته های مربوط به هر کدام از حمله کننده های احتمالی به یک حسگر وارد شود.
· براساس سزعت و پهنای باند شبکه عملکرد و بهرهوری حفظ شود.
· تطابق پذیری سیستم در شرایطی با ترافیک های مختلف
روش های مبتنی بر تعادل بار در هر زمان مقدار بار مناسبی برای هر کدام از حسگر در نظر می گیرد به بحوی که از ظرفیت سیستم به نحو بهینه استفاده شود. تعادل بار می تواند به دو صورت برآورده شود:
· استفاده از تسهیم کننده بار:این ابزار در ورودی شبکه قرار می گیرد و کل ترافیک شبکه باید از آن عبور نماید. به همین دلیل بایستی ابزار مورد استفاده توانمندی بالایی داشته باشد تا به گلوگاه عبور ترافیک تبدیل نشود.
· هر کدام از حسگرها با استفاده از چندین الگوریتم تسهیم بار و انجام محاسبات خاص، حسگرهایی که دچار بار بیش از حد شده اند؛ را تعیین کرده و با انجام تنظیمات خاص؛ باعث می شود که بار ورودی به آن ها کاهش یابد[۲].
این عملیات با روش های مختلفی می تواند صورت پذیرد. از جمله فیلتر کردن زودرس؛ که بعضی از بسته ها در خود تسهیم کننده بار پردازش می شوند. روش دیگر استفاده از یک گره مرکزی است؛ که از دیگر گره ها پیغام هایی را دریافت می کند و بار زیاد بر روی هر کدام از حسگرها و یا بروز حملات توزیع شده در شبکه یا حملات چند مرحله ای را متوجه می شود. بعد از این مرحله این مرحله این گره با ارسال فرمان های کنترلی باعث می شود که جریان بسته ها در حسگرها به نحو پویا تنظیم شود. این الگوریتم ها پیچیدگی بالایی دارند ولی در صورت پیاده سازی موفق بهره وری قابل توجه ای دارند.
به طور کلی برای سیستم های توزیع شده موازی سازی عملیات تشخیص نفوذ در چهار سطح می تواند صورت گیرد: سطح بسته ها، سطح مراودات پروتکلی، سطح قانون های امنیتی و سطح اجزای سیستم تشخیص نفوذ.[۲]
براي دانلود نسخه رايگان از لينك زير اقدام كنيد:
۱٫ابتدا برروي دكمه پرداخت كليك كنيد
۲٫ در صفحه بعد با وارد كردن نام و آدرس ايميل
براي پرداخت و دريافت فايل ورد با قابليت ويرايش از لينك زير اقدام كنيد: