IDS: Intrusion Detection System
intrusion detection system concepts and techniquesIDS: Intrusion Detection System
intrusion detection system concepts and techniques
مقدمه ای بر سیستم های تشخیص نفوذ تعاریف و باید ها
تشخیص حملهدر تشخیص حمله فرض بر این است که مهاجم میتواند دسترسی مورد نیاز خود را به هدف مورد نظرش بدست آورد و با موفقیت سیاستهای امنیتی تعیین شده را از بین ببرد.مکانیسم های در این طبقه با این فرض خوشبینانه که ، اغلب اوقات اطلاعات بدون دخالت منتقل میشوند بنا نهاده شده است.هنگامی که یکسری عملیات های غیر دلخواه رخ داد ،تشخیص حمله موظف است که چیزهایی را که اشتباه هستند را گزارش دهد و به صورت مناسب واکنش نشان دهد.یک جنبه بسیار مهم در تشخیص حمله بازیابی است.در اغلب اوقات تنها گزارش دادن یک فعالیت خرابکارانه که تشخیص داده شده است کافی است ، اما در بعضی از سیستمها نیاز است که توانایی داشته باشد که عملیات های را که توسط این حمله انجام شده است را متوقف و یا به حالت اولیه پایدار بازگرداند .به عبارت دیگر تشخیص حمله این مزیت را دارد که در بدترین حالت ممکن عمل که یک حمله کننده به کانال ارتباط دسترسی پیدا کرده و قادر به تغییر منابع است عمل می نماید.لذا میتوان گفت که تشخیص به تنهایی برای ایجاد اطمینان از امنیت کافی نیست که البته این موضوعات مورد بحث در تحقیقات من نخواهد بود .تحقیقات ما بیشتر به قسمت تشخیص حمله و یک عضو مهم از کلاس تشخیص حمله یعنی تشخیص نفوذ معطوف خواهد شد.
تشخیص نفوذ :نفوذ به عنوان دنباله ای از عملیات هاست که بوسیله یک خرابکار انجام میشود و نتیجه آن در هم شکستن سیستم هدف خواهد بود٫ اینگونه فرض میشود که اعمال یک نفوذگر باعث نقض سیاستهای امنیتی اعمال شده می گردد.تشخیص نفوذ یک پروسه تشخیص و پاسخ به فعالیتهای مخرب است که محاسبات و منابع شبکه را هدف قرار داده اند.در این تعریف تشخیص نفوذ به عنوان یک پروسه که میتواند شامل تکنولوژی ،مردم و ابزار باشد معرفی می شود.تشخیص نفوذ یک روش و راه حل مکمل برای شیوههای برقرار امنیتی مثل کنترل دسترسی و رمز نگاری است.فلسفه وجود سیستمهای تشخیص نفوذ تحت تأثیر و انگیزش چندین فاکتور است:
تشخیص نفوذ :نفوذ به عنوان دنباله ای از عملیات هاست که بوسیله یک خرابکار انجام میشود و نتیجه آن در هم شکستن سیستم هدف خواهد بود٫ اینگونه فرض میشود که اعمال یک نفوذگر باعث نقض سیاستهای امنیتی اعمال شده می گردد.تشخیص نفوذ یک پروسه تشخیص و پاسخ به فعالیتهای مخرب است که محاسبات و منابع شبکه را هدف قرار داده اند.در این تعریف تشخیص نفوذ به عنوان یک پروسه که میتواند شامل تکنولوژی ،مردم و ابزار باشد معرفی می شود.تشخیص نفوذ یک روش و راه حل مکمل برای شیوههای برقرار امنیتی مثل کنترل دسترسی و رمز نگاری است.فلسفه وجود سیستمهای تشخیص نفوذ تحت تأثیر و انگیزش چندین فاکتور است:
- تحقیقات نشان میدهد که اغلب سیستمهای کامپیوتری دارای آسیبپذیری های جدی میباشند و تهدیدات امنیتی بسیار سریع رشد می نمایند و مدیران و کاربران سیستم در رفع آسیبپذیری ها بسیار کند عمل میکنند
- مکانیستم های امنیتی مثل تشخیص هویت ، کنترل دسترسی و … بر اثر فعالیتهای مخرب و یا اشتباه غیر فعال میشوند با به عبارت دیگر قابل دور زدن هستند.
- کاربران مجاز سیستم ممکن که است که از دسترسی های خود سوءاستفاده نموده و باعث آسیب دیدن سیستم شوند
- حتی اگر حمله ناموفق باشد ،مفید خواهد بود که از تلاشهای انجام شده برای آسیب زدن به سیستم آگاه شویم
- دقت Accuracy: سیستم تشخیص نفوذ نباید فعالیتهای قانون یک محیط سیستمی را به عنوان آنومالی و یا استفاده غیر مجاز تشخیص بدهد(عملیات قانونی که به عنوان یک نفوذ شناسایی میشود false positive نامیده می شود.
- عملکردPerformance : عملکرد سیستم تشخیص نفوذ باید به اندازهای راضی کننده باشد که تشخیص نفوذ بلادرنگ را عملی سازد(بلادرنگ بدین معنی است که یک نفوذ قبل از اینکه آسیب محسوسی در سیست اتفاق بیفتد شناسایی شود) بر اساس [Ranum,2000] باید زیر یک دقیقه باشد.
- تحمل خطا Fault Tolerance : سیستم تشخیص نفوذ خودش باید در مقابل حملات مقاوم باشد
- مقیاس پذیری Scalability:یک سیستم تشخیص نفوذ باید این توانایی را داشته باشید که در بدترین حالت تعداد زیادی از رویداد را بدون از قلم افتاد بخشی از اطلاعات مورد پردزش قرار دهد.
برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)
ایمیل شما بعد از ثبت نمایش داده نخواهد شد