مبانی نظری و پیشینه تحقیق سیستم های IDS

این نوشتار مبانی نظری و پیشینه تحقیق سیستم تشخیص نفوذ IDS می باشد. در بخش اول مبانی نظری سیستم تشخیص نفوذ IDS تشریح می شود و در بخش دوم پیشینه تحقیق سیستم تشخیص نفوذ IDS در پژوهش های داخلی و خارجی مورد بررسی قرار می گیرد.

مکمل­های سیستم­های تشخیص نفوذ در برقراری امنیت
سیستم­های تشخیص نفوذ به عنوان یکی از راه کارهای برقراری امنیت در شبکه­های کامپیوتری مورد استفاده قرار می­گیرند. به عبارت دیگر این سیستم­ها یکی از فناوری­های مورد استفاده برای برقراری امنیت هستند و از گذشته سیستم­های دیگری به صورت مکمل در کنار این سیستم­ها برای برقراری امنیت استفاده می­شدند که هر کدام جایگاه خاصی در برقراری امنیت دارند. در اینجا به معرفی دیواره آتش، سازوکارهای رمزنگاری و تایید هویت و نیز لیست­های کنترل دسترسی می­پردازیم. [27]

1-1-2-1- دیواره آتش[4]
دیواره آتش به عنوان یکی از قدمی­ترین و شناخته­شده ترین راه حل­های مقابله با نفوذ در شبکه­های کامپیوتری مورد استفاده قرار گرفته است. دیواره آتش می­تواند بر اساس تنظیمات مدیر سیستم، انواع سیاست­های امنیتی را اعمال کند. از جمله تعیین جریان­های مجاز، تعیین امکان برقراری ارتباطات از بیرون شبکه و نیز تعیین سرویس­های مجاز برای کاربران خارج از شبکه. در حالت کلی دو نوع سیاست عمده در دیواره­های آتش مورد استفاده قرار می­گیرد:

· امکان عبور به ارتباطاتی که به طور صریح منع نشده­اند.

· جلوگیری از تمام ارتباطات و جریان­ها مگر آن­هایی که به طور صریح برای آنها مجوز وجود دارد.

نوع دوم بیشتر مورد استفاده است ولی با وجود استفاده از چنین سیاستی حمله کننده می­تواند از همین روزنه­های تعریف شده به سیستم آسیب برساند. برای مثال دیواره آتشی که اجازه عبور ترافیک وب را بر روی درگاه 80 می­دهد، این امکان را فراهم می­کند تا حمله کننده در پوشش ترافیک وب با­ایجاد ارتباطات زیاد میانگیر[5] سرور را پر کند و یا با مشغول کردن منابع آن امکان سرویس دهی آن را از بین ببرد، چیزی که به عنوان حملات جلوگیری از سرویس­دهی شناخته می­شود.

یکی از تفاوت­های دیگری که بین سیستم­های تشخیص نفوذ و دیواره­های آتش وجود دارد این است که دیواره آتش معمولا در نقطه دسترسی شبکه قرار می­گیرد و جریان­های وارد شونده و یا خارج شونده از شبکه در صورت امکان از آن عبور می­کنند. این در حالی است که سیستم­های تشخیص نفوذ به عنوان اجزایی منفعل در شبکه عمل می­کنند و مسئولیت پاسخ­دهی مربوط به سیستم­های پاسخ در برابر حمله است ( این پاسخ بر اساس معیارهای مختلف به منظور بهینه سازی پارامتر­های در دسترس بودن سیستم برای کاربران در مقابل حفظ امنیت آن، پاسخ مورد نظر در مقابل اقدامات مشکوک را تعیین می­کنند). سیستم­های تشخیص نفوذ با حسگرهای خود ترافیک شبکه را پویش می­کنند و انواع محدودی از آن وجود دارند که برای کاربری در نقاط دسترسی شبکه مثل مسیریاب­ها [6]مورد استفاده قرار می­گیرند.

یکی از روش­هایی که سیستم­های تشخیص نفوذ به همراه دیواره آتش مورد استفاده قرار می­گیرند این است که حسگر در نقاط خارج از شبکه قبل از دیواره آتش، در ناحیه به اصطلاح « غیر نظامی » قرار گیرند و تمام ارتباطات وارد شونده به شبکه را پویش کنند. همچنین سیستم تشخیص نفوذ می­تواند ارتباطات درون شبکه را پویش کند و بر اساس رخدادهای در جریان سیاست امنیتی دیواره آتش را تعیین کند.

1-1-2-2- ساز و کارهای رمزنگاری و تایید هویت
رمزنگاری یکی از معمول­ترین و موثرترین راه کارهای حفظ امنیت اطلاعات می­باشد. این مکانیزم قادر است انتقال نقطه به نقطه مطمئن را برای اطلاعات فراهم کند. این انتقال می­تواند بین مشتری­ها و یا سرورها و مسیریاب­ها نیز باشد. با این حال رمزنگاری نمی­تواند به تنها راه حفظ امنیت بدل شود.فرض کنید یک سرور وب با استفاده از رمزنگاری قصد حفظ امنیت را داشته باشد (با استفاده از پروتکل لایه انتقال SSL). این رمزنگاری برای کاربرانی که فقط قصد مرور صفحات را دارند کاری بی فایده خواهد بود. از طرفی خطرات دیگری این سرور را تهدید می­کند. با پیدا شدن یک شکاف امنیتی در شبکه اطلاعات موجود در دیسک می­توانند در معرض تهدید حمله کننده واقع شوند. همچنین درمورد حملات DoS سیستم بی دفاع است. درمورد مکانیزم­های تصدیق هویت هم باید گفت استفاده از رمز عبور نمی­تواند در مورد کاربرانی که رمز عبور ضعیف دارند خیلی کارساز باشد.

1-1-2-3- لیست­های کنترل دسترسی
لیست­های کنترل دسترسی مجموعه قوانینی هستند که دیواره­های آتش و مسیریاب برای محدود کردن عبور ترافیک و دسترسی­های خاص مورد استفاده قرار می­دهند. این لیست­ها به تنهایی قابلیت مقابله با حملات را ندارند، بلکه بر اساس سیاست امنیتی می­توان این لیست­ها را به دیواره آتش و مسیریاب­ها اعمال کرد و بر اساس آن می­توان جلو دسترسی محدوده خاصی از آدرس­های IP را به سرویس­های خاص گرفت. همچنین دیواره­های آتش و مسیریاب­ها می­توانند از طرف مدیر سیستم به نحوی پیکربندی شوند که نسخه­های گزارشی مربوط به فعالیت­های انجام شده، ارتباطات بلوکه شده و دیگر هشدارهای صادره را ارائه کنند.

فهرست مطالب

فصل دوم: تعاریف و پیش نیازها
2-1- مقدمه
2-2- مروری بر بدافزارها
2-2-1- سیر تكاملی ویروس های رایانه ای
2-2-2- بدافزار چیست؟
2-2-2-1- كرم
2-2-2-2- ویروس
2-2-2-3- تروجان
2-2-2-4- تروجان دسترسی از راه دور
2-2-2-5- روتكیت
2-3 مروری بر سیستم های تشخیص نفوذ
2-3-1- انواع حملات شبکه
2-3-1-1- انواع حملات شبکه ای با توجه به طریقه حمله
2-3-1-2- انواع حملات شبکه ای با توجه به حمله کننده
2-3-2- مکمل های سیستم های تشخیص نفوذ در برقراری امنیت
2-3-2-1- دیواره آتش
2-3-2-2- ساز و کارهای رمزنگاری و تایید هویت
2-3-2-3- لیست های کنترل دسترسی
2-3-3- انواع سیستم های تشخیص نفوذ
2-3-3-1- سیستم های تشخیص نفوذ مبتنی بر میزبان
2-3-3-2- سیستم های تشخیص نفوذ مبتنی بر شبکه
2-3-3-3- سیستم های توزیع شده
2-3-4- انواع روش های تشخیص حمله
2-3-4-1 روش های مبتنی بر امضا
2-3-4-2 روش های تشخیص حمله مبتنی بر ناهنجاری
2-3-4-3- روش های مبتنی بر تحلیل حالت پروتکل ارتباطی
2-3-5- تکنولوژی های سیستم های تشخیص نفوذ
2-3-5-1- اجزای سامانه های تشخیص نفوذ
2-3-5-2- ساختار و همبندی اجزای سیستم تشخیص نفوذ
2-3-5-3- عملکرد امنیتی سیستم های تشخیص نفوذ
2-3-5-4- قابلیت های مدیریتی ابزارهای تشخیص نفوذ
2-3-6- ویژگی های ابزار تشخیص نفوذ ایده آل
2-3-6-1- دقت بالا، نرخ تشخیص بالا و کم بودن هشدارهای نادرست
2-3-6-2- نحوه واکنش و ایجاد هشدار و کار با IDSهای دیگر
2-3-6-3- قابلیت های پیکربندی و تنظیمات فاز نصب و سازگاری با شرایط سیستم
2-3-6-4- امکان اعمال سیاست امنیتی در نسخه امنیتی یا با استفاده از قوانین کارآمد
2-3-6-5- مقیاس پذیری و توزیع پذیری
2-3-6-6- اجرای مداوم و تحمل پذیری خطا
2-3-6-7- قابلیت تشخیص حملات دیده نشده
2-3-6-8- بهره وری و عملکرد مناسب
2-3-6-9- کار با حداقل سربار و امکان بررسی عملکرد و بهره وری ابزار تشخیص نفوذ

فصل سوم : پیشینه تحقیق
3-1- ترکیب فیلترینگ و روش های آماری برای تشخیص ناهنجاری
3-2- تجزیه و تحلیل سیگنال ناهنجاری های ترافیک شبکه
3-3- یک چارچوب سیستم های تشخیص نفوذ مشارکتی برای شبکه های محاسبات ابری
3-4- شناسایی حمله در ابر 79
3-5- سیستم های تشخیص نفوذ و مدیریت ورودی چند سطحی در محاسبات ابری
3-6- جایگذاری یک NIDS در یک محیط محاسبات ابری
3-7- ابرهای دو قلو: یک معماری برای محیط ابری امن
منابع