آشنایی با سیستم های تشخیص نفوذ و جلوگیری از نفوذ (IDS/IPS)

نفوذ ، مجموعه ای از اقدامات می باشد که با هدف ایجاد خلل در اهداف امنیتی مانند یکپارچگی، محرمانگی، دسترس پذیری و مصرف منابع شبکه (منابع محاسباتی و ارتباطی) انجام می شود.

سیستم تشخیص نفوذ (Intrusion Detection System)

فرایند نظارت بر وقایع رخ داده در یک شبکه و یا سیستم کامپیوتری در جهت کشف موارد انحراف از سیاست های امنیتی

روش کار به این صورت است که با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات، پویش پورت ها، به دست آوری کنترل کامپیوترها و نهایتا هک کردن می باشد، می تواند فرآیند نفوذ را گزارش و کنترل کند.

سیستم جلوگیری از نفوذ (Intrusion Prevention System)

نظارت بر فعالیت‌ های یک شبکه و یا یک سیستم جهت شناسایی رفتار‌های ناخواسته یا مخرب

در صورت شناسایی این رفتارها، IPS بلافاصله عکس‌العمل نشان داده و از ادامه فعالیت آن‌ ها جلوگیری می ‌کند.

انواع IDS 

• IDS مبتنی بر میزبان -Host-based 

شناسایی و تشخیص فعالیت های غیرمجاز بر روی رایانه میزبان

این سامانه می تواند حملات و تهدیدات سیستم های بحرانی (شامل دسترسی به فایل ها، اسب های تروا و …) را که توسط سامانه NIDS قابل تشخیص نیستند را تشخیص دهد.

هنگامی که رخدادی خارج از روال عادی روی می دهد، بلافاصله از طریق SNMP هشدارهایی به طور خودکار برای مسئولین شبکه ارسال می گردد.

•  IDS مبتنی بر شبکه Network-based 

نظارت بلادرنگ بر روی ترافیک خطوط ارتباطی

در بسیاری از موارد، IDS ها به عنوان یک Sniffer عمل می کنند که با برسی بسته ها و پروتکل های ارتباطات فعال، به جستجوی تلاش هایی که برای حمله صورت می گیرد، می پردازند و به هنگام شناسایی تحرک مشکوک در ترافیک، بلافاصله اقدام به ارسال هشدار نموده و متعاقب آن اقدام به مسدود نمودن مسیر بسته های مشکوک می نمایند. در برخی از سیستم های به هم پیوسته با دیواره آتش، به طور خودکار قواعد جدیدی تعریف می گردد تا بطور کلی حمله مهاجمان را در آینده ختثی نماید.

•  IDS مبتنی بر برنامه Application-based

 به منظور حفاظت از “خوش اجرایی” برخی از برنامه های خاص، محتوای معنی دار داخل این برنامه ها اجازه می دهد تا سیستم بتواند میزان خطاهای درست / نادرست آنها را کاهش دهد.

رده بندی کلی سیستم های تشخیص نفوذ

اجزاء تشخیص نفوذ

جمع آوری اطلاعات

عملیات جمع آوری داده از یک منبع اطلاعاتی و تحویل آن ها به پیش پردازنده و موتور تحلیل

• مبتنی بر شبکه    —->             ترافیک شبکه
• مبتنی بر میزبان    —–>          دنباله های ممیزی سیستم عامل (Audit Trail)، رویداد نامه ها (Logs)
• مبتنی بربرنامه کاربردی —–>   رویداد نامه پایگاه داده ها و …..

تشخیص نفوذ مبتنی بر شبکه

نظارت مبتنی بر میزبان

زمانبندی تحلیل

• زمان بندی ( Timing): فاصله زمانی بین وقوع وقایع در منبع  اطلاعات تا تحلیل آن ها توسط موتور تحلیل
• زمان بندی دسته ای یا دوره ای (Batch): کشف نفوذ پس از وقوع، عدم امکان پاسخ گویی فعال
• زمان بندی بلادرنگ ( Real-time): تشخیص نفوذ به محض وقوع و یا حتی قبل از آن، وجود امکان پاسخ گویی فعال و پیش گیری از نفوذ

تحلیل و تشخیص

سازمان دهی اطلاعات و جستجوی علائم امنیتی

• تشخیص سوء استفاده —->  علائم حمله

1. شناخت حملات موجود
2.  تعریف الگوي حملات براي موتور تحلیل
3. جستجوي مجموعه ای از وقایع که با یک الگوی از پیش تعریف شده مطابقت دارد.
4. نیاز به بروزرسانی الگوهاي حمله

• تشخیص ناهنجاری    —–>  رفتار غیرنرمال

1. شناخت عملکرد نرمال سیستم
2. تهیه نمایه هایی از رفتار نرمال سیستم برای موتور تحلیل
3. جستجوی فعالیت غیرنرمال

مثبت غلط: تشخیص نادرست نرمال به حمله (حمله تشخیص داده شده ولی نرمال است.)

منفی غلط: تشخیص نادرست حمله به نرمال (نرمال تشخیص داده شده ولی حمله است.)

تشخیص سوء استفاده

مشکلات IDS های فعلی

• مبتنی بر دانش و امضاء: حتی داشتن یک پایگاه دانش بزرگ نیز در مقابل حملات جدید موثر نیست.
• مبتنی بر نوع حملات

“Intrusion A detected; Intrusion B detected”

در بلند مدت نمی تواند به صورت فعالانه حملات جدید را تشخیص دهد و از آن ها جلوگیری کند.

• آماری

“x% detection rate and y% false alarm rate”

نرخ تشخیص غلط بالا می باشد و حمله تشخیص داده نمی شود.

• پیکربندی ایستا و دستی

---

مقایسه ی دیواره ی آتش و IDS تحت شبکه

دیواره ی آتش (Firewall)

• فیلتر کردن فعالانه
  • Fail-close

IDS تحت شبکه

• نظارت غیر فعال (منفعل)
  • Fail-open

---

---

  روش تشخیص رفتار غیر عادی (Anomaly-Detection IDS)

در این روش، یک نما از رفتار عادی ایجاد می شود. یک ناهنجاری ممکن است نشان دهنده یک نفوذ باشد. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد.

به عنوان مثال اگر کاربری به جای یکبار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، یا رایانه ای خارج از ساعت اداری روشن شود، در حالی که قرار نبوده روشن باشد، به عنوان یک رفتار غیر عادی در نظر گرفته می شوند.

تشخیص مبتنی بر امضا (Signature-based system)

الگوهای نفوذ از پیش ساخته شده (امضا) به صورت قانون نگه داری می شوند، به طوری که هر الگو، انواع متفاوتی از یک نفوذ خاص را در برگرفته و در صورت بروز چنین الگویی در سیستم، وقوع نفوذ اعلام می شود. معمولا تشخیص دهنده در این روش پایگاه داده ای از امضا ها یا الگوهای حمله را دارد و سعی می کند با بررسی ترافیک شبکه، الگوهای مشابه با الگوهای خود را بیابد.

واکنش به نفوذ