این نوشتار مبانی نظری و پیشینه تحقیق سیستم تشخیص نفوذ IDS می باشد. در بخش اول مبانی نظری سیستم تشخیص نفوذ IDS تشریح می شود و در بخش دوم پیشینه تحقیق سیستم تشخیص نفوذ IDS در پژوهش های داخلی و خارجی مورد بررسی قرار می گیرد.

 


 مروری بر سیستم­های تشخیص نفوذ
تشخیص نفوذ عبارت است از تحلیل بی درنگ داده­های شبکه به منظور تشخیص و ثبت و اخطار به هنگام بروز حملات و یا اقدامات مخرب امنیتی. در عمل انواع مختلفی از روش­های تشخیص حمله وجود دارد که با توجه با انواع مختلف اقدامات درون شبکه قادر هستند اقدامات مخرب و نفوذی را کشف کنند. در عین این سیستم­ها از بخش­های مختلفی تشکیل شده­اند و به طرق مختلفی این اجزا می­توانند در کنار هم قرار گیرند و عملکرد خاصی را­ایجاد کنند.در این بخش به ارائه چارچوب کلی در مورد امنیت شبکه و سیستم­های کامپیوتری می­پردازیم. ابتدا انواع حملات و تهدیدهای موجود در شبکه­ های کامپیوتری را طبقه بندی می­کنیم. سپس به طبقه بندی سیستم­های تشخیص نفوذ از حیث ساختار می­پردازیم. در نهایت هم در مورد تکنولوژی­های تشخیص نفوذ و کارکردهای مختلف این ابزارها در مدیریت و حفظ امنیت و نظارت بر شبکه­های کامپیوتری بحث می­کنیم.

 

 

1-1-1-      انواع حملات شبکه
انواع حملات با توجه به حمله کننده به این شرح است:

1-1-1-1-   انواع حملات شبکه­ای با توجه به طریقه حمله
یک نفوذ به شبکه معمولا یک حمله قلمداد می­شود. حملات شبکه­ای را می­توان بسته به چگونگی انجام آن به دو گروه اصلی تقسیم کرد. یک حمله شبکه­ای را می­توان با هدف نفوذگر از حمله توصیف و مشخص کرد. این اهداف معمولا از کار انداختن سرویس ( DoS) یا دسترسی غیر مجاز به منابع شبکه است.

 

·         حملات از کار انداختن سرویس: در این نوع حملات مهاجم استفاده از سرویس ارائه شده توسط ارائه کننده خدمات برای کاربرانش را مختل می­کند. در این حملات حجم بالایی از درخواست ارائه خدمات به سرور فرستاده می­شود تا امکان خدمات رسانی را از آن بگیرد. در واقع سرور به پاسخگویی به درخواست­های بی شمار مهاجم مشغول می­شود و از پاسخگویی به کاربران واقعی باز می­ماند.

 

 

·         حملات دسترسی به شبکه: در این نوع از حملات نفوذگر امکان دسترسی غیر مجاز به منابع شبکه را پیدا می­کند و از این امکان برای انجام فعالیت­های غیر مجاز و حتی غیر قانونی استفاده می­کند. برای مثال از شبکه به عنوان مبدا حملات DoS  خود استفاده می­کند تا در صورت شناسایی مبدا، خود گرفتار نشود. دسترسی به شبکه را می­توان به دو گروه تقسیم کرد.

 

 

o       دسترسی به داده: در این نوع دسترسی، نفوذگر به داده موجود بر روی اجزا شبکه دسترسی غیر مجاز پیدا می­کند. حمله کننده می­تواند یک کاربر داخلی یا یک فرد خارج از مجموعه باشد. داده­های ممتاز و مهم معمولا تنها در اختیار بعضی کاربران شبکه قرار می­گیرد و سایرین حق دسترسی به آنها را ندارند. در واقع سایرین امتیاز کافی را جهت دسترسی به اطلاعات محرمانه را ندارند، اما می­توان با افزایش امتیاز به شکل غیر مجاز به اطلاعات محرمانه دسترسی پیدا کرد. این روش به تعدیل امتیاز[1] مشهور است.

 

 

o       دسترسی به سیستم: این نوع حمله خطرناک­تر و بدتر است و طی آن حمله کننده به منابع سیستم و دستگاه­ها دسترسی پیدا می­کند. این دسترسی می­تواند شامل اجرای برنامه­ها بر روی سیستم و به کارگیری منابع آن در جهت اجرای دستورات حمله کننده باشد. همچنین حمله کننده می­تواند به تجهیزات شبکه مانند دوربین­ها، پرینترها و وسایل ذخیره سازی دسترسی پیدا کند. حملات اسب ترواها، حمله تست همه حالات ممکن[2] و یا استفاده از ابزارهایی جهت تشخیص نقاط ضعف یک نرم­افزار نصب شده بر روی سیستم از جمله نمونه­های قابل ذکر از این نوع حملات هستند.

 

 

فعالیت مهمی که معمولا پیش از حملات DoS و دسترسی به شبکه انجام می­شود، شناسایی[3] است. یک حمله کننده از این فاز جهت یافتن حفره­های امنیتی و نقاط ضعف شبکه استفاده می­کند. این کار می­تواند به کمک بعضی ابزارهای آماده انجام پذیرد که به بررسی درگاه­های باز  و در حال کار رایانه­های موجود بر روی شبکه می­پردازند و آمادگی آنها را جهت انجام حملات مختلف بر روی آنها بررسی می­کنند.

 

 

 

1-1-1-2-   انواع حملات شبکه­ای با توجه به حمله کننده
حملات شبکه­ای را می­توان با توجه به حمله کننده به چهار گروه تقسیم کرد:

·         حملات انجام شده توسط کاربر مورد اعتماد ( داخلی ): این حمله یکی از مهمترین و خطرناک­ترین نوع حملات است، چون از یک طرف کاربر به منابع مختلف شبکه دسترسی دارد و از طرف دیگر سیاست­های امنیتی معمولا محدودیت­های کافی درباره این کاربران اعمال نمی­کنند.

 

·         حملات انجام شده توسط افراد غیر معتمد ( خارجی): این معمولترین نوع حمله است که یک کاربر خارجی که مورد اعتماد نیست شبکه را مورد حمله قرار می­دهد. این افراد معمولا سخت­ترین راه را پیش رو دارند زیرا بیشتر سیاست­های امنیتی درباره این افراد تنظیم شده­اند.

 

·         حملات انجام شده توسط مهاجم­های بی تجربه: بسیاری از ابزارهای حمله و نفوذ بر روی اینترنت وجود دارند. درواقع بسیاری از افراد می­توانند بدون تجربه خاصی و تنها با استفاده از ابزارهای آماده برای شبکه­ایجاد مشکل کنند.

 

·          حملات انجام شده توسط کاربران مجرب: مهاجم­های با تجربه و حرفه­ای در نوشتن انواع کدهای خطرناک متبحرند. آنها از شبکه و پروتکل­های آن و همچنین از انواع سیستم­های عامل آگاهی کامل دارند. معمولا این افراد ابزارهایی تولید می­کنند که توسط گروه اول به کار گرفته می­شوند. آنها معمولا پیش از هر مرحله، آگاهی کافی درباره هدف خود و آسیب پذیری­های آن کسب می­کنند.

 

 

 

 

 

 


فهرست مطالب

فصل دوم: تعاریف و پیش نیازها
2-1- مقدمه
2-2- مروری بر بدافزارها
2-2-1- سیر تكاملی ویروس های رایانه ای
2-2-2- بدافزار چیست؟
2-2-2-1- كرم
2-2-2-2- ویروس
2-2-2-3- تروجان
2-2-2-4- تروجان دسترسی از راه دور
2-2-2-5- روتكیت
2-3 مروری بر سیستم های تشخیص نفوذ
2-3-1- انواع حملات شبکه
2-3-1-1- انواع حملات شبکه ای با توجه به طریقه حمله
2-3-1-2- انواع حملات شبکه ای با توجه به حمله کننده
2-3-2- مکمل های سیستم های تشخیص نفوذ در برقراری امنیت
2-3-2-1- دیواره آتش
2-3-2-2- ساز و کارهای رمزنگاری و تایید هویت
2-3-2-3- لیست های کنترل دسترسی
2-3-3- انواع سیستم های تشخیص نفوذ
2-3-3-1- سیستم های تشخیص نفوذ مبتنی بر میزبان
2-3-3-2- سیستم های تشخیص نفوذ مبتنی بر شبکه
2-3-3-3- سیستم های توزیع شده
2-3-4- انواع روش های تشخیص حمله
2-3-4-1 روش های مبتنی بر امضا
2-3-4-2 روش های تشخیص حمله مبتنی بر ناهنجاری
2-3-4-3- روش های مبتنی بر تحلیل حالت پروتکل ارتباطی
2-3-5- تکنولوژی های سیستم های تشخیص نفوذ
2-3-5-1- اجزای سامانه های تشخیص نفوذ
2-3-5-2- ساختار و همبندی اجزای سیستم تشخیص نفوذ
2-3-5-3- عملکرد امنیتی سیستم های تشخیص نفوذ
2-3-5-4- قابلیت های مدیریتی ابزارهای تشخیص نفوذ
2-3-6- ویژگی های ابزار تشخیص نفوذ ایده آل
2-3-6-1- دقت بالا، نرخ تشخیص بالا و کم بودن هشدارهای نادرست
2-3-6-2- نحوه واکنش و ایجاد هشدار و کار با IDSهای دیگر
2-3-6-3- قابلیت های پیکربندی و تنظیمات فاز نصب و سازگاری با شرایط سیستم
2-3-6-4- امکان اعمال سیاست امنیتی در نسخه امنیتی یا با استفاده از قوانین کارآمد
2-3-6-5- مقیاس پذیری و توزیع پذیری
2-3-6-6- اجرای مداوم و تحمل پذیری خطا
2-3-6-7- قابلیت تشخیص حملات دیده نشده
2-3-6-8-  بهره وری و عملکرد مناسب
2-3-6-9- کار با حداقل سربار و امکان بررسی عملکرد و  بهره وری ابزار تشخیص نفوذ

فصل سوم : پیشینه تحقیق
3-1- ترکیب فیلترینگ و روش های آماری برای تشخیص ناهنجاری
3-2- تجزیه و تحلیل سیگنال ناهنجاری های ترافیک شبکه
3-3- یک چارچوب سیستم های تشخیص نفوذ مشارکتی برای شبکه های محاسبات ابری
3-4- شناسایی حمله در ابر 79
3-5- سیستم های تشخیص نفوذ و مدیریت ورودی چند سطحی در محاسبات ابری
3-6- جایگذاری یک NIDS در یک محیط محاسبات ابری
3-7- ابرهای دو قلو: یک معماری برای محیط ابری امن
منابع