فهرست مطالب
عنوان صفحه
فصل 1- مقدمه 7
1-1- پیشگفتار 7
کارهای مرتبط 10
آنالیزکمی: 11
آنالیز آماری : 12
آنالیزمبتنی بر قواعد: 12
آنالیز با استفاده ازشبکه های عصبی : 13
سیستم امنیت بیولوژیکی : 13
الگوریتم ژنتیک : 14
درخت تصمیم: 14
1-2- روش تحقیق 16
فصل 2- معرفی سیستم های تشخیص نفوذ 19
2-1- مقدمه 19
2-2- انواع رو شهای تشخیص نفوذ 21
2-3- روش تشخیص رفتار غیرعادی 22
2-3-1- تشخیص سطح آستانه 23
2-3-2- معیارهای آماری 23
2-3-3- معیارهای قانو نگرا 23
2-3-4- سایر معیارها 23
2-3-5- روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء 24
2-4- انواع معماری سیستم های تشخیص نفوذ 25
2-4-1- سیستم تشخیص نفوذ مبتنی بر میزبان HIDS 25
2-5- سیستم تشخیص نفوذ مبتنی بر شبکه NIDS 27
2-6- سیستم تشخیص نفوذ توزیع شده DIDS 31
2-7- روش های برخورد و پاسخ به نفوذ 33
2-7-1- پاسخ غی رفعال در سیستم تشخیص نفوذ 33
2-7-2- پاسخ فعال در سیستم تشخیص نفوذ 34
2-8- آشنایی با Snort 35
2-9- Snort چیست؟ 35
2-10- Packet Sniffer 37
2-11- Preprocessor 38
2-12- Detection Engine 39
2-13- اخطار دهنده 39
2-14- Snort و ساختار شبکه 40
2-15- مراجع 43
فصل 3- Ids یا سیستم های مهاجم یاب 44
3-1- IDS ها , لزوم و کلیات 44
3-2- انواع IDS ها 45
3-3- IDS های مبتنی بر میزبان ( Host Based IDS ) 46
3-4- IDS های مبتنی بر شبکه ( Network Based IDS ) 48
3-5- نقاط ضعف: 50
3-6- چگونگی قرار گرفتن IDS در شبکه 51
3-7- تکنیک های IDS 52
3-8- مراجع 58
در دنیای امروز، کامپیوتر و شبکه های کامپیوتری متصل به اینترنت نقش عمده ای در ارتباطات و انتقال اطلاعات ایفا می کنند. در این بین افراد سودجو با دسترسی به اطلاعات مهم مراکز خاص یا اطلاعات افراد دیگر و با قصد اعمال نفوذ یا اعمال فشار و یا حتی به هم ریختن نظم سیستم ها، عمل تجاوز به سیستم های کامپیوتری را در پیش گرفته اند Intruder و Cracker ،Hacker کلماتی هستند که امروزه کم و بیش در محافل کامپیوتری مطرح می باشند و اقدام به نفوذ به سیست مهای دیگر کرده و امنیت آن ها را به خطر م یاندازد. بنابراین لزوم حفظ امنیت اطلاعاتی و حفظ کارآیی در شبک ههای کامپیوتری که با دنیای خارج ارتباط دارند، کاملأ محسوس است.
از آنجا که از نظر تکنیکی ایجاد سیستم های کامپیوتری ( سخت افزار و نرم افزار ) بدون نقاط ضعف و شکست امنیتی عملأ غیرممکن است، تشخیص نفوذ در تحقیقات سیست مهای کامپیوتری با اهمیت خاصی دنبال میشود.
سیستم های تشخیص نفوذ (IDS) برای کمک به مدیران امنیتی سیستم در جهت کشف نفوذ و حمله به کار گرفته شده اند. هدف یک سیستم تشخیص نفوذ جلوگیری از حمله نیست و تنها کشف و احتمالأ شناسایی حملات و تشخیص اشکالات امنیتی در سیستم یا شبکه ی کامپیوتری و اعلام آن به مدیر سیستم است. عمومأ سیستم های تشخیص نفوذ در کنار دیواره های آتش و به صورت مکمل امنیتی برای آن ها مورد استفاده قرار م یگیرند.
نگاهی بر سیستمهای تشخیص نفوذ
سیستم های تشخیص نفوذ وظیفه ی شناسایی و تشخیص هر گونه استفاد هی غیرمجاز به سیستم، سوء استفاده و یا آسی برسانی توسط هر دو دسته ی کاربران داخلی و خارجی را بر عهده دارند. سیستم های تشخیص نفوذ به صورت سیستم های نرم افزاری و سخ تافزاری ایجاد شده و هر کدام مزایا و معایب خاص خود را دارند. سرعت و دقت از مزایای سیست مهای سخت افزاری است و عدم شکست امنیتی آن ها توسط نفوذگران، قابلیت دیگر این گونه سیستم ها می باشد. اما استفاده ی آسان از نرم افزار، قابلیت انطباق پذیری در شرایط نرم افزاری و تفاوت سیستم های عامل مختلف، عمومیت بیشتری را به سیست مهای نرم افزاری م یدهد و عمومأ این گونه سیستم ها انتخاب مناسب تری هستند.
به طور کلی سه عملکرد اصلی IDS عبارتند از:
- نظارت و ارزیابی
- کشف
- واکنش
بر همین اساس IDS هر را می توان بر اساس رو شهای تشخیص نفوذ، معماری و انواع پاسخ به نفوذ دسته بندی کرد.
1-1- انواع رو شهای تشخیص نفوذ
نفوذ به مجموعه ی اقدامات غیرقانونی که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر می اندازد، اطلاق م یگردد. نفوذ ها می توانند به دو دسته ی داخلی و خارجی تقسیم شوند. نفوذهای خارجی به آن دسته نفوذهایی گفته می شود که توسط افراد مجاز و یا غیرمجاز از خارج شبکه به درون شبکه ی داخلی صورت می گیرد و نفوذهای داخلی توسط افراد مجاز در سیستم و شبکه ی داخلی، از درون خود شبکه انجام م یپذیرد.
نفوذ گرها عموماً از عیوب نر مافزاری، شکستن کلمات رمز، استرا قسمع ترافیک شبکه و نقاط ضعف طراحی در شبکه، سرویس ها و یا کامپیوترهای شبکه برای نفوذ به سیست مها و شبک ههای کامپیوتری بهره می برند.
به منظور مقابله با نفوذگران به سیستم ها و شبک ههای کامپیوتری، روش های متعددی تحت عنوان رو شهای تشخیص نفوذ ایجاد گردیده است که عمل نظارت بر وقایع اتفاق افتاده در یک سیستم یا شبکه ی کامپیوتری را بر عهده دارد. روش های تشخیص مورد استفاده در سیستم های تشخیص نفوذ به دو دسته تقسیم می شوند:
- روش تشخیص رفتار غیر عادی
- روش تشخیص سوءاستفاده یا تشخیص مبتنی بر امضاء
1-2- روش تشخیص رفتار غیرعادی
در این روش، یک نما از رفتار عادی ایجاد می شود. یک ناهنجاری ممکن است نشان دهنده ی یک نفوذ باشد. برای ایجاد نماهای رفتار عادی از رویکردهایی از قبیل شبکه ها ی عصبی، تکنیک های یادگیری ماشین و حتی سیستم های ایمنی زیستی استفاده می شود.
برای تشخیص رفتار غیرعادی، باید رفتارهای عادی را شناسایی کرده و الگوها و قواعد خاصی برای آن ها پیدا کرد. رفتارهایی که از این الگوها پیروی می کنند، عادی بوده و رویدادهایی که انحرافی بیش از حد معمول آماری از این الگوها دارند، به عنوان رفتار غیرعادی تشخیص داده می شود. نفوذهای غیرعادی برای تشخیص بسیار سخت هستند، چون هیچگونه الگوی ثابتی برای نظارت وجود ندارد. معمولاً رویدادی که بسیار بیشتر یا کمتر از دو استاندارد انحراف از آمار عادی به وقوع می پیوندد، غیرعادی فرض می شود. به عنوان مثال اگر کاربری به جای یک یا دو بار ورود و خروج عادی به سیستم در طول روز، بیست بار این کار را انجام دهد، و یا کامپیوتری که در ساعت 2:00 بعد از نیمه شب مورد استفاده قرار گرفته در حالی که قرار نبوده کامپیوتر فوق پس از ساعت اداری روشن باشد. هر یک از این موارد می تواند به عنوان یک رفتار غیر عادی در نظر گرفته شود.
تکنیک ها و معیارهایی که در تشخیص رفتار غیرعادی به کارمی روند، عبارتند از: