سیـستم های تشخیـص نـفوذ (IDS)

 فهـرسـت

عنوان…………………………………………………………………………………………….. صفحه

چکیده ………………………………………………………………………………………………………………………………..۳

مقدمه ………………………………………………………………………………………………………………………………..۴

نگاهی بر سیستم های تشخیص نفوذ (IDS) ………………………………………………………………………………………………….. 5

انواع روشهای تشخیص نفوذ …………………………………………………………………………………………………………. ۶

الف- روش تشخیص رفتار غیر عادی ………………………………………………………………………………………………… ۶

ب-  روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء ……………………………………………………………………………. ۹

انواع معماری سیستم های تشخیص نفوذ …………………………………………………………………………………………….. ۱۰

•  سیستم تشخیص نفوذ مبتنی بر میزبان (HIDS) ………………………………………………………………………………… 10

•  سیستم تشخیص نفوذ مبتنی بر شبکه (NIDS) ………………………………………………………………………………….. 12

•  سیستم تشخیص نفوذ توزیع شده (DIDS) …………………………………………………………………………………………. 15

روش های برخورد و پاسخ به نفوذ ………………………………………………………………………………………………..۱۷

·         پاسخ غیرفعال در سیستم تشخیص نفوذ ……………………………………………………………………………………..۱۷

·         پاسخ فعال در سیستم تشخیص نفوذ ………………………………………………………………………………………..۱۸

منابع …………………………………………………………………………………………………………………………۱۹

چکیده:

برای ایجاد امنیت کامل در یک سیستم کامپیوتری، علاوه بر دیواره های آتش و دیگر تجهیزات جلوگیری از نفوذ، سیستمهای دیگری به نام سیستم های تشخیص نفوذ (IDS) مورد نیاز می باشند تا بتوانند در صورتی که نفوذگر از دیواره ی آتش، آنتی ویروس و دیگرتجهیزات امنیتی عبور کرد و وارد سیستم شد، آن را تشخیص داده و چاره ای برای مقابله با آن بیاندیشند. سیستم های تشخیص نفوذ را می توان از سه جنبه ی روش تشخیص، معماری و نحوه ی پاسخ به نفوذ طبقه بندی کرد. انواع روش های تشخیص نفوذ عبارتند از تشخیص رفتار غیرعادی و تشخیص سوءاستفاده)تشخیص مبتنی بر امضاء(. انواع مختلفی از معماری سیستمهای تشخیص نفوذ وجود دارد که به طور کلی می توان آن ها را در سه دسته ی مبتنی بر میزبان،(HIDS)  و توزیع شده (NIDS) مبتنی بر شبکه (DIDS)  تقسیم بندی نمود.

مقدمه

در دنیای امروز، کامپیوتر و شبکه های کامپیوتری متصل به اینترنت نقش عمده ای در ارتباطات و انتقال اطلاعات ایفا می کنند. در این بین افراد سودجو با دسترسی به اطلاعات مهم مراکز خاص یا اطلاعات افراد دیگر و با قصد اعمال نفوذ یا اعمال فشار و یا حتی به هم ریختن نظم سیستم ها، عمل تجاوز به سیستم های کامپیوتری را در پیش گرفته اند Intruder و Cracker ،Hacker کلماتی هستند که امروزه کم و بیش در محافل کامپیوتری مطرح می باشند و اقدام به نفوذ به سیست مهای دیگر کرده و امنیت آن ها را به خطر می اندازد. بنابراین لزوم حفظ امنیت اطلاعاتی و حفظ کارآیی در شبکه های کامپیوتری که با دنیای خارج ارتباط دارند، کاملأ محسوس است.

از آنجا که از نظر تکنیکی ایجاد سیستم های کامپیوتری( سخت افزار و نرم افزار) بدون نقاط ضعف و شکست امنیتی عملأ غیرممکن است، تشخیص نفوذ در تحقیقات سیست مهای کامپیوتری با اهمیت خاصی دنبال می شود.

سیستم های تشخیص نفوذ (IDS) برای کمک به مدیران امنیتی سیستم در جهت کشف نفوذ و حمله به کار گرفته شده اند. هدف یک سیستم تشخیص نفوذ جلوگیری از حمله نیست و تنها کشف و احتمالأ شناسایی حملات و تشخیص اشکالات امنیتی در سیستم یا شبکه های کامپیوتری و اعلام آن به مدیر سیستم است. عمومأ سیستم های تشخیص نفوذ در کنار دیواره های آتش و به صورت مکمل امنیتی برای آن ها مورد استفاده قرار می گیرند.

نگاهی بر سیستم های تشخیص نفوذ (IDS)

سیستم های تشخیص نفوذ (IDS) وظیفه ی شناسایی و تشخیص هر گونه استفاده ی غیرمجاز به سیستم، سوء استفاده و یا آسیب رسانی توسط هر دو دسته ی کاربران داخلی و خارجی را بر عهده دارند. سیستم های تشخیص نفوذ به صورت سیستم های نرم افزاری و سخت افزاری ایجاد شده و هر کدام مزایا و معایب خاص خود را دارند. سرعت و دقت از مزایای سیستم های سخت افزاری است و عدم شکست امنیتی آن ها توسط نفوذگران، قابلیت دیگر این گونه سیستم ها می باشد. اما استفاده ی آسان از نرم افزار، قابلیت انطباق پذیری در شرایط نرم افزاری و تفاوت سیستم های عامل مختلف، عمومیت بیشتری را به سیستم های نرم افزاری می دهد و عمومأ این گونه سیستم ها انتخاب مناسب تری هستند.

به طور کلی سه عملکرد اصلی (IDS) عبارتند از:

ü     نظارت و ارزیابی

ü     کشف

ü     واکنش

بر همین اساس هر IDS را می توان بر اساس رو شهای تشخیص نفوذ، معماری و انواع پاسخ به نفوذ دسته بندی کرد.

انواع روشهای تشخیص نفوذ

نفوذ به مجموعه ی اقدامات غیرقانونی که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر می اندازد، اطلاق می گردد. نفوذ ها می توانند به دو دسته ی داخلی و خارجی تقسیم شوند. نفوذهای خارجی به آن دسته نفوذهایی گفته می شود که توسط افراد مجاز و یا غیرمجاز از خارج شبکه به درون شبکه ی داخلی صورت می گیرد و نفوذهای داخلی توسط افراد مجاز در سیستم و شبکه ی داخلی، از درون خود شبکه انجام می پذیرد.

نفوذگرها عموماً از عیوب نرم افزاری، شکستن کلمات رمز، استراق سمع ترافیک شبکه و نقاط ضعف طراحی در شبکه، سرویس ها و یا کامپیوترهای شبکه برای نفوذ به سیستم ها و شبکه های کامپیوتری بهره می برند.

به منظور مقابله با نفوذگران به سیستم ها و شبکه های کامپیوتری، روش های متعددی تحت عنوان رو شهای تشخیص نفوذ ایجاد گردیده است که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکه ی کامپیوتری را بر عهده دارد. روش های تشخیص مورد استفاده در سیستم های تشخیص نفوذ به دو دسته تقسیم می شوند:

الف- روش تشخیص رفتار غیر عادی

ب-  روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء

۱ – روش تشخیص رفتار غیرعادی

در این روش، یک نما از رفتار عادی ایجاد می شود. یک ناهنجاری ممکن است نشان دهنده ی یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل شبکه ها ی عصبی، تکنیک های یادگیری ماشین و حتی سیستم های ایمنی زیستی استفاده می شود.

برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آن ها پیدا کرد. رفتارهایی که از این الگوها پیروی می کنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده می شود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع می پیوندد، غیرعادی فرض می شود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا کامپیوتری که در ساعت ۲:۰۰ بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد می تواند به عنوان یک رفتار غیر عادی در نظر گرفته شود.

تکنیک ها و معیارهایی که در تشخیص رفتار غیرعادی به کارمی روند، عبارتند از:

الف- تشخیص سطح آستانه

تعداد ورود و خروج به / از سیستم و یا زمان استفاده از سیستم، از مشخصه های رفتار سیستم و یا استفاده کننده است که می توان با شمارش آن به رفتار غیرعادی سیستم پی برد و آن را ناشی از یک نفوذ دانست. این سطح کاملاً ایستا و اکتشافی است.

ب-  معیارهای آماری

در نوع پارامتریک، مشخصات جمع شده براساس یک الگوی خاص در نظر گرفته می شود و در حالت غیر پارامتریک بر اساس مقادیری که به تجربه حاصل شده است مقایسه صورت می گیرد. از IDS های معروف که از انداز هگیری آماری برای تشخیص نفوذ رفتار غیرعادی استفاده می کنند، می توان NIDS را نام برد.

ج- معیارهای قانو نگرا

شبیه به معیارهای آماری غیرپارامتریک است، به طوری که داده ی مشاهده شده براساس الگوهای استفاده شده ی مشخصی به طور قابل قبول تعریف م یشود. اما با الگوهایی که به عنوان قانون مشخص شده فرق دارد و به صورت شمارشی نیست.

د- سایر معیارها

روش های خوشه بندی، شبکه های عصبی، الگوریتم های ژنتیک و مدل های سیستم ایمنی از این دسته هستند.

دو معیار اول یعنی تشخیص سطح آستانه و معیار های آماری در IDS های تجاری استفاده می شوند. متاسفانه تشخیص دهندگان نفوذ های غیرعادی و IDS هایی از این نوع، باعث ایجاد تعداد زیادی هشدار نادرست می شوند و آن هم به خاطر این است که الگوهای رفتاری از جانب استفاده کنندگان و سیستم بسیار متفاوت است. در عوض محققان ادعا می کنند برخلاف روش های تشخیص مبتنی بر امضاء (که حتماً باید با الگوهای حملات قبلی منطبق باشند)، روشهای تشخیص رفتار غیرعادی، قادر به کشف انواع حملات جدید هستند.

تعدادی از IDS های تجاری از انواع تشخیص دهندگان رفتار غیرعادی هستند و اغلب IDS ها از این نوع بیشتر در کارهایی چون پویش پورت استفاده می شوند.

با این وجود ایجاد یک سیستم تشخیص نفوذ براساس روش تشخیص رفتارهای غیرعادی همیشه کار آسانی نیست، همچنین این روش ها از دقت رو شهای تشخیص مبتنی بر امضاء برخوردار نیستند.

۲ – روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء

در این تکنیک که معمولاًبا نام تشخیص مبتنی بر امضاء شناخته شده است، الگوهای نفوذ از پیش ساخته شده (امضاء) به صورت قانون نگهداری می شوند. به طوری که هر الگو انواع متفاوتی از یک نفوذ خاص را در بر گرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام می شود. در این روش ها، معمولاً تشخیص دهنده دارای پایگاه داده ای از امضاء ها یا الگوهای حمله است و سعی می کند با بررسی ترافیک شبکه، الگوهای مشابه با آن چه را که در پایگاه داده ی خود نگهداری می کند، بیابد. این دسته از روش ها تنها قادر به تشخیص نفوذهای شناخته شده می باشند و در صورت بروز حملات جدید در سطح شبکه، نمی توانند آن ها را شناسایی کنند و مدیر شبکه باید همواره الگوی حملات جدید را به سیستم تشخیص نفوذ اضافه کند. از مزایای این روش دقت در تشخیص نفو ذهایی است که الگوی آن ها عیناً به سیستم داده شده است.

۳- انواع معماری سیستم های تشخیص نفوذ

معماری های مختلف سیستم تشخیص نفوذ عبارتند از :

•  سیستم تشخیص نفوذ مبتنی بر میزبان (HIDS)

•  سیستم تشخیص نفوذ مبتنی بر شبکه (NIDS)

•  سیستم تشخیص نفوذ توزیع شده (DIDS)

سیستم تشخیص نفوذ مبتنی بر میزبان (HIDS)

این سیستم، شناسایی و تشخیص فعالیت های غیرمجاز بر روی کامپیوتر میزبان را بر عهده دارد. سیستم تشخیص نفوذ مبتنی بر میزبان می تواند حملات و تهدیداتی را روی سیستم های بحرانی تشخیص دهد (شامل دسترسی به فایل ها، اسب های تروا و …) که توسط سیستم های تشخیص نفوذ مبتنی بر شبکه قابل تشخیص نیستند. HIDS فقط از میزبان هایی که روی آن ها مستقر است محافظت می کند و کارت واسط شبکه ی (NIC) آن ها به صورت پیش فرض در حالت ب اقاعده ۵ کار می کند. حالت با قاعده ی، در بعضی از موارد می تواند مفید باشد. چون همه ی کارت های واسط شبکه ی قابلیت حالت بی قاعده را ندارند. HIDS ها به واسطه ی مکان شان روی میزبانی که باید نظارت شود، از همه ی انواع اطلاعات محلی اضافی با پیاد هسازی های امنیتی (شامل فراخوانی های سیستمی، تغییرات فایل های سیستمی و اتصالات سیستم) مطلع می باشند. این مساله هنگام ترکیب با ارتباطات شبک های، داده های خوبی را برای جستجوی رویداد های ممکن فراهم می کند.

شکل ۱: مثالی از سیستم های تشخیص نفوذ مبتنی برمیزبان

مزیت دیگر HIDS توانایی سازماندهی بسیار خوب تصمیمات برای هر میزبان منحصر به فرد می باشد. به عنوان مثال نیازی نیست روی میزبانی که سرویس نام گذاری دامنه (DNS) را اجرا نمی کند، قوانین چند گانه ای بررسی شوند که برای تشخیص سوءاستفاد ه ها از DNS طراحی شده اند. در نتیجه کاهش تعداد قوانین مربوطه، کارآیی را بالا می برد و سربار پردازنده را برای هر میزبان کاهش می دهد. همچنین HIDSها اطلاعات مشخصی در این باره که نفوذ از کجا، توسط چه کسی و چه موقع اتفاق افتاده است را فراهم م یکنند. این عمل بسیار مفید است چون هیچ گونه کم کاری و حذف وجود ندارد.

در IDSهای مبتنی بر میزبان احتمال هشدارهای نادرست بسیار کم است، چرا که اطلاعات مستقیماً به کاربران برنامه های کاربردی بر می گردد. این IDS ها ترافیک کمتری نسبت به NIDS داشته و تاًکید بیشتری روی حسگرهای چندگانه ی مجزا و ایستگاه های مدیریت مرکزی دارند.

از معایب HIDSها سازگاری کم بین سیستم عامل و در نتیجه نر مافزارهای چندگانه است. اغلب  IDSهای مبتنی بر میزبان تنها برای یک سیستم عامل نوشته می شوند. دیگر این که HIDS ها بعضی از حملات را که در لایه های پایین شبکه انجام م یشوند، شناسایی نمی کنند.

سیستم تشخیص نفوذ مبتنی بر شبکه (NIDS)

نام NIDS از این حقیقت مشتق شده است که از منظر محلی که قرار گرفته، بر تمام شبکه نظارت دارد. شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیست مهای بحرانی، به عهد هی سیستم تشخیص نفوذ مبتنی بر شبکه است NIDSها اغلب از دو بخش ناظر (حسگر) و عامل تشکیل شده اند. این دو بخش اغلب در پشت دیواره ی آتش و بقی هی نقاط دسترسی برای تشخیص هر نوع فعالیت غیرمجاز نصب می شود. عامل های شبکه می توانند جایگزین زیرساختار شبکه شوند تا ترافیک شبکه را جستجو کنند. نصب عام لها و ناظرها این مزیت را دارد که هر نوع حمله ای را در ابتدا از بین می برد. ضمناً دنباله های بررسی یک یا چند میزبان می توانند برای جستجوی علائم حملات، مفید باشند.

شکل ۲: مثالی از سیستم های تشخیص نفوذ مبتنی بر شبکه

عموماً کارت شبکه ی کامپیوتر در حالت باقاعده کار می کند. در این حالت عملیات، فقط بسته هایی که عازم آدرس ویژه ی فیزیکی(MAC) کارت شبکه هستند ( یا بسته های همه پخشی ) برای تحلیل به پشته پروتکلی فرستاده می شوند NIDS باید در حالت بی قاعده کار کند تا بر ترافیک شبکه که عازم آدرس MAC خودش نیست، نظارت داشته باشد. در حالت بی قاعده، NIDS می تواند روی همه ی ارتباطات در سگمنت های شبکه استراق سمع کند. عملیات کارت شبکه ی NIDS  در حالت بی قاعده، برای حفاظت شبکه ضروری است. اگرچه از دید مقررات محرمانه و قوانین استراق سمع، نظارت بر ارتباطات شبکه مسئولیتی است که باید به دقت مورد رسیدگی قرار گیرد.

شکل ۲ شبکه ای را نشان می دهد که از سه واحد NIDS استفاده کرده است. واحد ها روی سگمنت های استراتژیک قرار گرفته اند و می توانند بر ترافیک شبکه برای همه ی اجزای سگمنت ها نظارت کنند. این پیکربندی، استانداردی پیرامون توپولوژی امنیتی شبکه ارائه می دهد، به طوری که زیرشبکه های مجزای تحت پوشش سرویس دهنده های عمومی، به وسیله ی NIDS محافظت می شود.

NIDS ها می توانند طوری برنامه ریزی شوند که مزاحمتی در طول کار ایجاد نشود. به طوری که حضور هر حمل های که تشخیص NIDSمی دهد، درون فایل رویدادها ثبت کرده و بدون این که مهاجم متوجه شود، به مدیر شبکه اطلاع می دهد.

سیستم های تشخیص نفوذ مبتنی بر شبکه نیاز به کلمه ی عبور برای برنامه های کاربردی، حقوق مربوط به سیستم عامل شبکه یا اتصالات مربوط به سیستم در هنگام اجرای نرم افزار ندارد. همچنین از آنجا که این سیستم ها در سطح لایه ی شبکه عمل می کنند، به سیستم عامل وابستگی ندارند. ضمناً هیچگونه سربار و تغییری روی سروی سدهنده ها و ایستگاه های کاری به وجود نمی آورند، چرا که برای این سیستم های تشخیص نفوذ نیازی به نصب ابزارهای اضافی نیست.

معایب ها NIDS عبارتند از:

۱-    بعضی از سیستم ها قادر به جمع آوری داده با سرعت بالا نیستند. NIDS به خاطر جمع آوری و تجزیه و تحلیل با سرعت بالا، ممکن است بسیاری از بست هها را از دست بدهد. بعضی از NIDS ها در سرع تهای بالا تر از ۱۰۰Mbps دچار مشکل می شود.

۲-    این سیستم ها فقط قادر ند به ترافیک سگمنت های محلی گوش دهند، یعنی فقط به کامپیوتر هایی گوش کنند که در آن سگمنت قرار دارند. ایده ال این است که NIDS به هر هاب و هر پورت معین روی یک سوییچ متصل شود. اگر حوزه ی دید محدود باشد، عملکرد نیز محدود خواهد شد.

۳-    بسته به ساختار NIDS اگر میزان داده ها زیاد باشد، این داده ها به ایستگاه مدیریت مرکزی قابل برگشت می باشد. هرچه مقدار داده ی جمع آوری شده بیشتر باشد، متعاقباً ترافیک نیز بیشتر خواهد بود.

۴-    واحد گزارش گیری می تواند تعداد زیادی از رویدادها را گزارش کند. به همین دلیل به یک فرد متخصص نیاز است تا گزارشات را تجزیه و تحلیل کرده و موارد نادرست را شناسایی کند.

۵-    چنانچه ترافیک شبکه رمز شده باشد، NIDS نمی تواند الگوهای حمله را تشخیص دهد. به طور کلی NIDS ها در شبکه های سوییچ شده دچار مشکل هستند.

همان طور که گفته شد سیستم های تشخیص نفوذ مبتنی بر شبکه از دو بخش ناظر و عامل تشکیل شده اند.ناظر یک دستگاه یا یک بسته ی نرم افزاری شبکه را به منظور یافتن بسته های اطلاعاتی مشکوک بررسی می کند. عامل نرم افزاری است که معمولاً به طور جداگانه روی هر یک از کامپیوتر های مورد نیاز قرار می گیرد و نقش ارسال اطلاعات را به صورت بازخوردی به ناظر برعهده دارد. همچنین ممکن است بخش دیگری هم به نام کنسول مدیریت وجود داشته باشد که به شکلی مطمئن (با اعتبار سنجی و رمزنگاری) به ناظر متصل می شود

و از آن گزارش دریافت می کند و نیز به تبادل اطلاعات مربوط به تنظیم پیکربندی سیستم می پردازد. این سیستم های تشخیص نفوذ با استفاده از تکنیک هایی مانند شنود بسته ها ، داده ها را از درون بسته های اطلاعاتی TCP/IP یا سایر پروتکل ها که در حال جریان و نقل و انتقال در شبکه می باشند، استخراج می کنند. کارآیی این سیستم ها در برابر حملات جلوگیری از سرویس (DoS) و اشغال پهنای باند می باشد.

سیستم تشخیص نفوذ توزیع شده (DIDS)

این سیستم ها از چندین NIDS یا HIDS یا ترکیبی از این دو نوع همراه یک ایستگاه مدیریت مرکزی تشکیل شده است. بدین صورت که هر IDS که در شبکه موجود است گزارش های خود را برای ایستگاه مدیریت مرکزی ارسال می کند. ایستگاه مرکزی وظیفه بررسی گزارش های رسیده و آگاه سازی مسئول امنیتی سیستم را برعهده دارد. این ایستگاه مرکزی همچنین وظیفه به روزرسانی پایگاه قوانین تشخیص هر یک از IDS های موجود در شبکه را برعهده دارد. شکل ۳ یک سیستم تشخیص نفوذ توزیع شده را نمایش م یدهد. NIDS 1,2 وظیفه محافظت از سرویس دهنده های عمومی و NIDS 3,4 وظیفه محافظت از شبکه داخلی را برعهده دارند. اطلاعات در ایستگاه مدیریت مرکزی ذخیره می شود. شبکه بین NIDS ها با سامانه مدیریت مرکزی می تواند خصوصی باشد و یا این که از زیرساخت موجود برای ارسال داده ها استفاده شود. وقتی از شبکه ی موجود برای ارسال داده های مدیریتی استفاده شود، امنیت های اضافی به وسیله ی رمزنگاری یا تکنولوژی شبک ههای خصوصی مجازی VPN حاصل می گردد.

شکل ۳: مثالی از یک سیستم تشخیص نفوذ توزیع شده

روش های برخورد و پاسخ به نفوذ

قابلیت دیگر برخی از IDS ها این است که با در دست داشتن اطلاعات وقایع و تجزیه و تحلیل الگوهای حملات به آن ها پاسخ م یدهد. برخی از این پاسخ ها درگیر نتایج گزارش گیری و آگاهی از وضعیت بخصوص و بقیه درگیر پاس خهای خودکار فعال می باشند.

محققان پاسخ هایی را کهIDS  ها به حملات م یدهند، دست کم می گیرند. اما آن ها اغلب مهم هستند. IDS های تجاری محدوده ی وسیعی از پاسخ ها را حمایت می کنند. پاسخ در IDS ها به دو شکل غیر فعال و فعال تقسیم می شوند که نوع غیر فعال به پاسخ برون خطی نیز معروف است.

پاسخ غیرفعال در سیستم تشخیص نفوذ

این IDS ها، به مدیر امنیتی سیستم اطلاعاتی درباره ی حمله توسط تلفن همراه، نامه ی الکترونیکی، پیام روی صفحه ی کامپیوتر یا پیامی برای کنسول SNMP می دهند. این اطلاعات شامل موارد زیر است:

·        آدرس IP  منبع حمله

·        آدرس IP مقصد حمله

·        نتیجه ی حمله

·        ابزار یا مکانیزم های مورد استفاده برای مهار حمله

·        گزارشات و اتصالات حمل ههای سیستم و رویدادهای مربوطه

پاسخ فعال در سیستم تشخیص نفوذ

سیستم های تشخیص نفوذ از لحظه ای که به کار می افتند، ضمن به دست آوردن اطلاعات مربوط به رخدادها و تجزیه و تحلیل آن ها، اگر نشان هایی دال بر وقوع یک حمله را تشخیص دهند، پاسخ لازم را در قبال آن به نحوهای مختلف تولید م یکنند. گاهی این پاسخ به صورت یک هشدار به مدیر شبکه است و گاهی نوشتن یک اطلاع در فایل رخدادها و یا به صورت تنظیم مجدد دیواره ی آتش و یا دستگاه های دیگری در شبکه است.

IDSهای فعال هر نفوذی را که تشخیص دهد به طور خودکار پاسخ م یدهند و خود به سه دسته تقسیم می شوند:

۱٫ پاسخ فعال براساس جم عآوری اطلاعات اضافی

۲٫ پاسخ فعال از نوع تغییر محیط

۳٫ پاسخ فعال از نوع عکس العمل در مقابل حمله

منابع:

[۱] Brian Caswell, Jay Beale, and Andrew R Baker, “Snort IDS and IPS Toolkit”, Syngress

Publishing, 2007.

[2] Ronald L. Krutz, “Securing SCADA Systems”, Wiley, 2005.

[3] Paul Innella and Oba McMillan, “An Introduction to Intrusion Detection Systems”, ۲۰۰۱٫

[۴]مسعود ستوده فر،”کشف نفوذ در شبکه مبتنی بر قوانین فازی تطبیق پذیر”، پایان نامه کارشناسی ارشد، دانشگاه فردوسی مشهد

]۵[محمد اکبرپور،”سیستم تشخیص نفوذ فازی با تکنیک داده کاوی”، پایان نامه کارشناسی ارشد، دانشگاه فردوسی مشهد

(Visited 224 times, 20 visits today)