سامانه جلوگیری نفوذ

سامانه‌های پیشگیری از نفوذ (به انگلیسی Intrusion prevention system) که با نام سامانه‌های تشخیص و جلوگیری از نفوذ هم شناخته می‌شوند، ابزاری برای امنیت شبکه هستند که فعالیت‌های موجود در شبکه یا سامانه را برای تشخیص و جلوگیری از فعالیت‌های مخرب تحت نظر می‌گیرند. وظایف اصلی یک سامانه جلوگیری نفوذ شامل شناسایی فعالیت‌های مخرب، ثبت اطلاعات در مورد این فعالیت‌ها، اقدام به بلوکه و متوقف کردن این فعالیت‌ها و ثبت گزارش کارهای انجام شده توسط خود سامانه می‌شوند.^[۱]

سامانه‌های جلوگیری از نفوذ حالت ارتقا یافته سامانه‌های تشخیص نفوذ محسوب می‌شوند چرا که هر دو این سامانه‌ها فعالیت‌های شبکه یا سامانه را برای یافتن فعالیت‌های مخرب نظارت می‌کنند. تفاوت اصلی این سامانه‌ها با سامانه‌های تشخیص نفوذ در این است که این سامانه‌ها می‌توانند به صورت فعال مانع فعالیت‌های مخرب شده یا آن‌ها را متوقف کنند.^[۲]^[۳] به‌طور دقیق‌تر می‌توان گفت که یک سامانه جلوگیری نفوذ توانایی انجام کارهایی مانند ارسال هشدار، دور ریختن بسته‌های مخرب، بازنشاندن یا بلوکه کردن ارتباط از طرف آدرس‌های متخاصم.^[۴] این سامانه‌ها همچنین توانایی اصلاح خطاهای CRC، اصلاح ترتیب بسته‌ها، جلوگیری از مسائل ترتیب بسته TCP و پاکسازی گزینه‌های ناخواسته در لایه حمل و شبکه را دارند.^[۲]^[۵]

دسته بندی‌ها

سامانه‌های جلوگیری از نفوذ به چهار نوع مختلف تقسیم بندی می‌شوند:^[۱]^[۶]

سامانه‌های جلوگیری از نفوذ مبتنی بر شبکه (NIPS): تمام شبکه را به وسیلهٔ تحلیل عملیات پروتکل جهت یافتن ترافیک مشکوک نظارت می‌کند.
سامانه‌های تشخیص نفوذ بیسیم (WIPS): شبکه بیسیم را جهت یافتن ترافیک مشکوک به وسیلهٔ تحلیل پروتکل‌های شبکه بیسیم نظارت می‌کند.
تجزیه و تحلیل رفتار شبکه(NBA): جهت تشخیص تهدیدهایی که جریان ترافیکی غیرمعمول تولید می‌کنند، ترافیک شبکه را آزمایش می‌کند، مثلاً حمله‌های منع سرویس توزیع شده یا نوع خاصی از بدافزارها
سامانه‌های جلوگیری از نفوذ مبتنی بر میزبان (HIPS): بسته نرم‌افزاری نصب شده‌ای است که فقط یک میزبان را جهت یافتن فعالیت‌های مشکوک نطارت می‌کند که این کار از طریق تحلیل رخدادهایی که درون آن میزبان اتفاق می‌افتد انجام می‌شود.

روش‌های شناسایی

اکثر سامانه‌های پیشگیری از نفوذ، از یکی از سه روش پیشگیری استفاده می‌کنند: ۱- مبتنی بر امضا ۲- مبتنی بر آنومالی آماری ۳- تجزیه و تحلیل پروتکل مبتنی بر حالت ^[۳]^[۳]^[۷]

شناسایی مبتنی بر امضا: سامانه‌های تشخیص نفوذ مبتنی بر امضا، بسته‌ها را در شبکه نطارت کرده و آن‌ها را با الگوهای پیش از پیکربندی و پیش از تعیین حمله که به عنوان امضا محسوب می‌شوند، مقایسه می‌کند.
شناسایی مبتنی بر آنومالی آماری: سامانه تشخیص نفوذ مبتنی بر آنومالی آماری،فعالیت شبکه نرمال را مشخص می‌کند مثلاً به‌طور کلی چه ترتیبی از پهنای باند مورد استفاده قرار گرفته‌است یا چه پروتکل‌هایی استفاده شده‌است یا چه پورت‌ها و وسایلی به‌طور کلی به یکدیگر متصل هستند و زمانی که ترافیک غیرنرمال مشاهده شد به کاربر یا مدیر هشدار دهد.
تجزیه و تحلیل پروتکلهای مبتنی بر حالت: این روش انحراف حالت پروتکل‌ها را مشخص می‌کند و این عمل با مقایسه رخدادهای مشاهده شده و پروفایل‌های از پیش تعیین شده‌ای که مطابق با تعریف مورد قبول هستند، انجام می‌شود.

موضوعات مرتبط

منابع

↑ ^۱٫۰ ^۱٫۱ "NIST – Guide to Intrusion Detection and Prevention Systems (IDPS)" (PDF). ۲۰۰۷-۰۲. Retrieved 2010-06-25. {{cite web}}: Check date values in: |date= (help)
↑ ^۲٫۰ ^۲٫۱ Robert C. Newman (19 February 2009). Computer Security: Protecting Digital Resources. Jones & Bartlett Learning. pp. 273–. ISBN 978-0-7637-5994-0. Retrieved 25 June 2010. خطای یادکرد: برچسب <ref> نامعتبر؛ نام «Newman2009» چندین بار با محتوای متفاوت تعریف شده است. (صفحهٔ راهنما را مطالعه کنید.).
↑ ^۳٫۰ ^۳٫۱ ^۳٫۲ Michael E. Whitman; Herbert J. Mattord (2009). Principles of Information Security. Cengage Learning EMEA. pp. 289–. ISBN 978-1-4239-0177-8. Retrieved 25 June 2010. خطای یادکرد: برچسب <ref> نامعتبر؛ نام «WhitmanMattord2009» چندین بار با محتوای متفاوت تعریف شده است. (صفحهٔ راهنما را مطالعه کنید.).
↑ Tim Boyles (2010). CCNA Security Study Guide: Exam 640-553. John Wiley and Sons. pp. 249–. ISBN 978-0-470-52767-2. Retrieved 29 June 2010.
↑ Harold F. Tipton; Micki Krause (2007). Information Security Management Handbook. CRC Press. pp. 1000–. ISBN 978-1-4200-1358-0. Retrieved 29 June 2010.
↑ John R. Vacca (2010). Managing Information Security. Syngress. pp. 137–. ISBN 978-1-59749-533-2. Retrieved 29 June 2010.
↑ Engin Kirda; Somesh Jha; Davide Balzarotti (2009). Recent Advances in Intrusion Detection: 12th International Symposium, RAID 2009, Saint-Malo, France, September 23–25, 2009, Proceedings. Springer. pp. 162–. ISBN 978-3-642-04341-3. Retrieved 29 June 2010.

پیوند به بیرون

[GIDPS-1] ۱٫۰ ^۱٫۱ "NIST – Guide to Intrusion Detection and Prevention Systems (IDPS)" (PDF). ۲۰۰۷-۰۲. Retrieved 2010-06-25. {{cite web}}: Check date values in: |date= (help)

[Newman2009-2] ۲٫۰ ^۲٫۱ Robert C. Newman (19 February 2009). Computer Security: Protecting Digital Resources. Jones & Bartlett Learning. pp. 273–. ISBN 978-0-7637-5994-0. Retrieved 25 June 2010. خطای یادکرد: برچسب <ref> نامعتبر؛ نام «Newman2009» چندین بار با محتوای متفاوت تعریف شده است. (صفحهٔ راهنما را مطالعه کنید.).

[WhitmanMattord2009-3] ۳٫۰ ^۳٫۱ ^۳٫۲ Michael E. Whitman; Herbert J. Mattord (2009). Principles of Information Security. Cengage Learning EMEA. pp. 289–. ISBN 978-1-4239-0177-8. Retrieved 25 June 2010. خطای یادکرد: برچسب <ref> نامعتبر؛ نام «WhitmanMattord2009» چندین بار با محتوای متفاوت تعریف شده است. (صفحهٔ راهنما را مطالعه کنید.).

[Boyles2010-4] Tim Boyles (2010). CCNA Security Study Guide: Exam 640-553. John Wiley and Sons. pp. 249–. ISBN 978-0-470-52767-2. Retrieved 29 June 2010.

[TiptonKrause2007-5] Harold F. Tipton; Micki Krause (2007). Information Security Management Handbook. CRC Press. pp. 1000–. ISBN 978-1-4200-1358-0. Retrieved 29 June 2010.

[Vacca2010-6] John R. Vacca (2010). Managing Information Security. Syngress. pp. 137–. ISBN 978-1-59749-533-2. Retrieved 29 June 2010.

[KirdaJha2009-7] Engin Kirda; Somesh Jha; Davide Balzarotti (2009). Recent Advances in Intrusion Detection: 12th International Symposium, RAID 2009, Saint-Malo, France, September 23–25, 2009, Proceedings. Springer. pp. 162–. ISBN 978-3-642-04341-3. Retrieved 29 June 2010.

[۱]

[۲]

[۳]

[۴]

[۵]

[۶]

[۷]