سامانه تشخیص نفوذ

(تغییرمسیر از سامانه کشف نفوذ)

سامانه‌های تشخیص نفوذ (Intrusion Detection System) وظیفهٔ شناسایی و تشخیص هر گونه استفادهٔ غیرمجاز به سیستم، سوء استفاده یا آسیب‌رسانی توسط هر دو دستهٔ کاربران داخلی و خارجی را بر عهده دارند. تشخیص و جلوگیری از نفوذ امروزه به عنوان یکی از مکانیزم‌های اصلی در برآوردن امنیت شبکه‌ها و سیستم‌های رایانه‌ای مطرح است و عموماً در کنار دیواره‌های آتش و به صورت مکمل امنیتی برای آن‌ها مورد استفاده قرار می‌گیرند.

سامانه‌های تشخیص نفوذ به صورت سامانه‌های نرم‌افزاری و سخت‌افزاری ایجاد شده و هر کدام مزایا و معایب خاص خود را دارند. سرعت و دقت از مزایای سیستم‌های سخت‌افزاری است و عدم شکست امنیتی آن‌ها توسط نفوذگران، قابلیت دیگر این گونه سیستم‌ها می‌باشد. اما استفادهٔ آسان از نرم‌افزار، قابلیت سازگاری در شرایط نرم‌افزاری و تفاوت سیستم‌های عامل مختلف، عمومیت بیشتری را به سامانه‌های نرم‌افزاری می‌دهد و عموماً این گونه سیستم‌ها انتخاب مناسب تری هستند. به‌طور کلی سه عملکرد اصلی IDS عبارت است از: نظارت و ارزیابی، کشف و واکنش. بر همین اساس هر IDS را می‌توان بر اساس روش‌های تشخیص نفوذ، معماری و انواع پاسخ به نفوذ دسته‌بندی کرد. قسمت دیگری نیز به نام IPS وجود درد که داخل هسته آن می‌توان IDSرا یافت. درواقع IDS تنها ورود افراد غیرقانونی به شبکه را شناسایی می‌کنند اما IPSها جلوی ورودهای غیرقانونی به شبکه را می‌گیرند.

روش‌های تشخیص نفوذ

ویرایش

نفوذ به مجموعهٔ اقدامات غیرقانونی که صحت و محرمانگی یا دسترسی به یک منبع را به خطر می‌اندازند گفته می‌شود. نفوذها می‌توانند به دو دستهٔ داخلی و خارجی تقسیم شوند. نفوذهای خارجی به آن دسته نفوذهایی گفته می‌شود که توسط افراد مجاز یا غیرمجاز از خارج شبکه به درون شبکهٔ داخلی صورت می‌گیرد و نفوذهای داخلی توسط افراد مجاز در سیستم و شبکهٔ داخلی، از درون خود شبکه انجام می‌پذیرد. نفوذگرها عموماً از عیوب نرم‌افزاری، شکستن کلمات رمز، شنود میزان تردد در شبکه و نقاط ضعف طراحی در شبکه، سرویس‌ها یا کامپیوترهای شبکه برای نفوذ به سیستم‌ها و شبکه‌های رایانه‌ای بهره می‌برند.

به منظور مقابله با نفوذگران به سیستم‌ها و شبکه‌های رایانه‌ای، روش‌های متعددی تحت عنوان روش‌های تشخیص نفوذ ایجاد گردیده‌است که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکهٔ رایانه‌ای را بر عهده دارد. روش‌های تشخیص مورد استفاده در سامانه‌های تشخیص نفوذ به دو دسته تقسیم می‌شوند:

  1. روش تشخیص رفتار غیرعادی (anomaly detection)
  2. روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء(misuse detection)

روش تشخیص رفتار غیرعادی

ویرایش

در این روش، یک نما از رفتار عادی ایجاد می‌شود. یک ناهنجاری ممکن است نشان دهندهٔ یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل شبکه‌های عصبی، تکنیک‌های یادگیری ماشین و حتی سیستم‌های ایمنی زیستی استفاده می‌شود. برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آن‌ها پیدا کرد. رفتارهایی که از این الگوها پیروی می‌کنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده می‌شود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچ‌گونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع می‌پیوندد، غیرعادی فرض می‌شود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، یا رایانه‌ای که در ساعت ۲:۰۰ بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد می‌تواند به عنوان یک رفتار غیرعادی در نظر گرفته شود. این روش به دلیل هشدارهای اشتباه(False Positive) با نرخ بالا در تشخیص در اکثر موارد توسط کارشناسان شبکه به صورت محدود استفاده می‌شود و محققان در حال توسعه و بهبود کارایی آن می‌باشند.

روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء

ویرایش

در این تکنیک که معمولاً با نام تشخیص مبتنی بر امضاء شناخته شده‌است، الگوهای نفوذ از پیش‌ساخته شده (امضاء) به صورت قانون نگهداری می‌شوند. به‌طوری‌که هر الگو انواع متفاوتی از یک نفوذ خاص را دربر گرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام می‌شود. در این روش‌ها، معمولاً تشخیص دهنده دارای پایگاه داده‌ای از امضاءها یا الگوهای حمله‌است و سعی می‌کند با بررسی ترافیک شبکه، الگوهای مشابه با آنچه را که در پایگاه دادهٔ خود نگهداری می‌کند، بیابد. این دسته از روش‌ها تنها قادر به تشخیص نفوذهای شناخته شده می‌باشند و در صورت بروز حملات جدید در سطح شبکه، نمی‌توانند آن‌ها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سامانه تشخیص نفوذ اضافه کند. از مزایای این روش دقت در تشخیص نفوذهایی است که الگوی آن‌ها عیناً به سیستم داده شده‌است.

معماری سامانه‌های تشخیص نفوذ

ویرایش

معماری‌های مختلف سامانه تشخیص نفوذ عبارتند از:

  1. سامانه تشخیص نفوذ مبتنی بر میزبان (HIDS)
  2. سامانه تشخیص نفوذ مبتنی بر شبکه (NIDS)
  3. سامانه تشخیص نفوذ توزیع شده (DIDS)

سامانه تشخیص نفوذ مبتنی بر میزبان

ویرایش

این سیستم، شناسایی و تشخیص فعالیت‌های غیرمجاز بر روی رایانه میزبان را بر عهده دارد. سامانه تشخیص نفوذ مبتنی بر میزبان می‌تواند حملات و تهدیداتی را روی سیستم‌های بحرانی تشخیص دهد (شامل دسترسی به فایل‌ها، اسب‌های تروا و …) که توسط سامانه‌های تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند. اچ‌آی‌دی‌اس (HIDS) فقط از میزبان‌هایی که روی آن‌ها مستقر است محافظت می‌کند و کارت واسط شبکهٔ (NIC) آن‌ها به صورت پیش‌فرض در حالت باقاعده ۵ کار می‌کند. حالت باقاعده در بعضی از موارد می‌تواند مفید باشد چون همهٔ کارت‌های واسط شبکه قابلیت حالت بی‌قاعده را ندارند. اچ‌آی‌دی‌اس‌ها به واسطهٔ مکان شان روی میزبانی که باید نظارت شود، از همهٔ انواع اطلاعات محلی اضافی با پیاده‌سازی‌های امنیتی (شامل فراخوانی‌های سیستمی، تغییرات فایل‌های سیستمی و اتصالات سیستم) مطلع می‌باشند. این مسئله هنگام ترکیب با ارتباطات شبکه‌ای، داده‌های خوبی را برای جستجوی رویدادهای ممکن فراهم می‌کند.

سامانه تشخیص نفوذ مبتنی بر شبکه

ویرایش

شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستم‌های بحرانی، به عهدهٔ سامانه تشخیص نفوذ مبتنی بر شبکه‌است. ان‌آی‌دی‌اس‌ها (NIDS)، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بسته‌ها و پروتکل‌های ارتباطات فعال، به جستجوی تلاش‌هایی که برای حمله صورت می‌گیرد می‌پردازند. به عبارت دیگر معیار ان‌آی‌دی‌اس‌ها، تنها بسته‌هایی است که بر روی شبکه‌ها رد و بدل می‌گردد. از آن جایی که ان‌آی‌دی‌اس‌ها تشخیص را به یک سیستم منفرد محدود نمی‌کنند، عملاً گستردگی بیشتری داشته و فرایند تشخیص را به صورت توزیع شده انجام می‌دهند. با این وجود این سیستم‌ها در رؤیایی با بسته‌های رمز شده یا شبکه‌هایی با سرعت و ترافیک بالا کارایی خود را از دست می‌دهند.

سامانه تشخیص نفوذ توزیع شده (DIDS)

ویرایش

با پیشرفت تکنولوژی و پیچیده تر شدن حملات، سیستم های تشخیص نفوذ سنتی، کارایی لازم را ندارند. به همین دلیل محققان با هدف بهبود سیستم های تشخیص نفوذ ، سیستم های تشخیص نفوذ مشارکتی (CIDS) یا توزیع شده (DIDS) را ارائه داده اند. [۱]این سیستم‌ها از چندین NIDS یا HIDS یا ترکیبی از این دو نوع همراه یک ایستگاه مدیریت مرکزی تشکیل شده‌است. بدین صورت که هر IDS که در شبکه موجود است گزارش‌های خود را برای ایستگاه مدیریت مرکزی ارسال می‌کند. ایستگاه مرکزی وظیفه بررسی گزارش‌های رسیده و آگاه‌سازی مسئول امنیتی سیستم را برعهده دارد. این ایستگاه مرکزی همچنین وظیفه به روزرسانی پایگاه قوانین تشخیص هر یک از IDSهای موجود در شبکه را برعهده دارد. اطلاعات در ایستگاه مدیریت مرکزی ذخیره می‌شود. شبکه بین ان‌آی‌دی‌اس‌ها با سامانه مدیریت مرکزی می‌تواند خصوصی باشد یا این که از زیرساخت موجود برای ارسال داده‌ها استفاده شود. وقتی از شبکهٔ موجود برای ارسال داده‌های مدیریتی استفاده شود، امنیت‌های اضافی به وسیلهٔ رمزنگاری یا فناوری شبکه‌های خصوصی مجازی(VPN)حاصل می‌گردد.

روش‌های برخورد و پاسخ به نفوذ

ویرایش

قابلیت دیگر برخی از IDSها این است که با در دست داشتن اطلاعات وقایع و تجزیه و تحلیل الگوهای حملات به آن‌ها پاسخ می‌دهد. پاسخ در IDSها به دو شکل غیرفعال و فعال تقسیم می‌شوند که نوع غیرفعال به پاسخ برون خطی نیز معروف است.

پاسخ غیرفعال در سامانه تشخیص نفوذ

ویرایش

این IDSها، به مدیر امنیتی سیستم اطلاعاتی دربارهٔ حمله توسط تلفن همراه، نامهٔ الکترونیکی، پیام روی صفحهٔ رایانه یا پیامی برای کنسول SNMP می‌دهند. این اطلاعات شامل موارد زیر است:

  • آدرس IP منبع حمله
  • آدرس IP مقصد حمله
  • نتیجهٔ حمله
  • ابزار یا مکانیزم‌های مورد استفاده برای مهار حمله
  • گزارش‌ها و اتصال‌ها حمله‌های سیستم و رویدادهای مربوط

پاسخ فعال در سامانه تشخیص نفوذ

ویرایش

سامانه‌های تشخیص نفوذ از لحظه‌ای که به کار می‌افتند، ضمن به دست آوردن اطلاعات مربوط به رخدادها و تجزیه و تحلیل آن‌ها، اگر نشان‌هایی دال بر وقوع یک حمله را تشخیص دهند، پاسخ لازم را در قبال آن به نحوه‌های مختلف تولید می‌کنند. گاهی این پاسخ به صورت یک هشدار به مدیر شبکه‌است و گاهی نوشتن یک اطلاع در فایل رخدادها یا به صورت تنظیم مجدد دیوارهٔ آتش یا دستگاه‌های دیگری در شبکه‌است. IDSهای فعال هر نفوذی را که تشخیص دهد به‌طور خودکار پاسخ می‌دهند و خود به سه دسته تقسیم می‌شوند:

  1. پاسخ فعال براساس جمع‌آوری اطلاعات اضافی
  2. پاسخ فعال از نوع تغییر محیط
  3. پاسخ فعال از نوع عکس‌العمل در مقابل حمله

سامانه‌های تشخیص نفوذ رایگان

ویرایش

منابع

ویرایش
  1. Li, W., Stidsen, C., & Adam, T. (2023). A blockchain-assisted security management framework for collaborative intrusion detection in smart cities. Computers and Electrical Engineering, 111, 108884. [PDF]