IDS: Intrusion Detection System

مقدمه ای بر سیستم های تشخیص نفوذ تعاریف و باید ها


تشخیص حملهدر تشخیص حمله فرض بر این است که مهاجم می‌تواند دسترسی مورد نیاز خود را به هدف مورد نظرش بدست آورد و با موفقیت سیاست‌های امنیتی تعیین شده را از بین ببرد.مکانیسم های در این طبقه با این فرض خوش‌بینانه که ، اغلب اوقات اطلاعات بدون دخالت منتقل می‌شوند بنا نهاده شده است.هنگامی که یکسری عملیات های غیر دلخواه رخ داد ،تشخیص حمله موظف است که چیزهایی را که اشتباه هستند را گزارش دهد و به صورت مناسب واکنش نشان دهد.یک جنبه بسیار مهم در تشخیص حمله بازیابی است.در اغلب اوقات تنها گزارش دادن یک فعالیت خرابکارانه که تشخیص داده شده است کافی است ، اما در بعضی از سیستم‌ها نیاز است که توانایی داشته باشد که عملیات های را که توسط این حمله انجام شده است را متوقف و یا به حالت اولیه پایدار بازگرداند .به عبارت دیگر تشخیص حمله این مزیت را دارد که در بدترین حالت ممکن عمل که یک حمله کننده به کانال ارتباط دسترسی پیدا کرده و قادر به تغییر منابع است عمل می نماید.لذا می‌توان گفت که تشخیص به تنهایی برای ایجاد اطمینان از امنیت کافی نیست که البته این موضوعات مورد بحث در تحقیقات من نخواهد بود .تحقیقات ما بیشتر به قسمت تشخیص حمله و یک عضو مهم از کلاس تشخیص حمله یعنی تشخیص نفوذ معطوف خواهد شد.
تشخیص نفوذ :
نفوذ به عنوان دنباله ای از عملیات هاست که بوسیله یک خرابکار انجام می‌شود و نتیجه آن در هم شکستن سیستم هدف خواهد بود٫ اینگونه فرض می‌شود که اعمال یک نفوذگر باعث نقض سیاست‌های امنیتی اعمال شده می گردد.تشخیص نفوذ یک پروسه تشخیص و پاسخ به فعالیت‌های مخرب است که محاسبات و منابع شبکه را هدف قرار داده اند.در این تعریف تشخیص نفوذ به عنوان یک پروسه که می‌تواند شامل تکنولوژی ،مردم و ابزار باشد معرفی می شود.تشخیص نفوذ یک روش و راه حل مکمل برای شیوه‌های برقرار امنیتی مثل کنترل دسترسی و رمز نگاری است.فلسفه وجود سیستم‌های تشخیص نفوذ تحت تأثیر و انگیزش چندین فاکتور است:
  1. تحقیقات نشان می‌دهد که اغلب سیستم‌های کامپیوتری دارای آسیب‌پذیری های جدی می‌باشند و تهدیدات امنیتی بسیار سریع رشد می نمایند و مدیران و کاربران سیستم در رفع آسیب‌پذیری ها بسیار کند عمل می‌کنند
  2. مکانیستم های امنیتی مثل تشخیص هویت ، کنترل دسترسی و … بر اثر فعالیت‌های مخرب و یا اشتباه غیر فعال می‌شوند با به عبارت دیگر قابل دور زدن هستند.
  3. کاربران مجاز سیستم ممکن که است که از دسترسی های خود سوء‌استفاده نموده و باعث آسیب دیدن سیستم شوند
  4. حتی اگر حمله ناموفق باشد ،مفید خواهد بود که از تلاش‌های انجام شده برای آسیب زدن به سیستم آگاه شویم
سیستم‌های تشخیص نفوذ ( IDSs ) برنامه‌های نرم افزاری هستند که برای تشخیص نفوذ در شبکه‌های هدف طراحی شده اند.این سیستم‌ها طراحی شده‌اند که موارد و خواسته هایی را که در بالا بیان شد را برآورده نمایند.به این ترتیب انتظار نداریم که آن‌ها جایگزین متدهای سنتی امنیتی شوند ، اما سیستم‌های تشخیص نفوذ مکمل این متدها خواهند بود.بر اساس[Dacier et al.,1999],یک سیستم تشخیص نفوذ باید نیازمندی های زیر را تعمین کند :
  • دقت Accuracy: سیستم تشخیص نفوذ نباید فعالیت‌های قانون یک محیط سیستمی را به عنوان آنومالی و یا استفاده غیر مجاز تشخیص بدهد(عملیات قانونی که به عنوان یک نفوذ شناسایی می‌شود false positive نامیده می شود.
  • عمل‌کردPerformance : عمل‌کرد سیستم تشخیص نفوذ باید به اندازه‌ای راضی کننده باشد که تشخیص نفوذ بلادرنگ را عملی سازد(بلادرنگ بدین معنی است که یک نفوذ قبل از اینکه آسیب محسوسی در سیست اتفاق بیفتد شناسایی شود) بر اساس [Ranum,2000] باید زیر یک دقیقه باشد.
  • تحمل خطا Fault Tolerance : سیستم تشخیص نفوذ خودش باید در مقابل حملات مقاوم باشد
  • مقیاس پذیری Scalability:یک سیستم تشخیص نفوذ باید این توانایی را داشته باشید که در بدترین حالت تعداد زیادی از رویداد را بدون از قلم افتاد بخشی از اطلاعات مورد پردزش قرار دهد.
در ادامه به معماری سیستم های تشخیص نفوذ  خواهم پرداخت ....
نظرات (0)
نام :
ایمیل : [پنهان میماند]
وب/وبلاگ :
برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)