• IDS - چیست؟ سیستم تشخیص نفوذ (IDS) چگونه کار می کند

    در بررسی راه حل های IPS شرکتی در بازار روسیه توسط Anti-Malware، که هفته گذشته منتشر شد، همه چیز خوب است، به جز، در واقع، بررسی خود راه حل های روسی. بگذارید کمی به همکارانم اضافه کنم.

    مانند اکثر محصولات موجود در بازار ما امنیت اطلاعاتسیستم های تشخیص/پیشگیری از حمله را می توان بر اساس دو ویژگی زیر طبقه بندی کرد:

    • گواهینامه:
      • غایب
      • حداقل "برای نمایش" را ساخته است
      • سطح بالای گواهینامه
    • شناخت (شیوع) محصول:
      • در جهان شناخته شده و مورد استفاده قرار می گیرد
      • فقط در بازار محلی موجود است

    بسته به ترکیب این دو پارامتر، نوع فروشنده را می توان به این صورت توصیف کرد، البته با در نظر گرفتن این که در عمل، بیشتر اوقات وضعیت مختلط خواهد بود.

    اکنون، در واقع، بیایید به IPS / IDS داخلی برویم، که وجود آن تا حد زیادی با وجود الزامات نظارتی مربوطه تعیین می شود. الزامات رسمی برای این دسته از راه حل ها برای مدت طولانی (از سال 2002) با FSB وجود داشته است و از سال گذشته، FSTEC نیز ظاهر شده است.

    FSB این دسته از دستگاه ها را SOA (سیستم های تشخیص حمله) می نامد و 4 کلاس را از G تا A (از پایین تر به بالاتر) متمایز می کند، در حالی که هر کلاس بعدی شامل تمام عملکردهای قبلی است. الزامات FSB با علامت "برای استفاده رسمی" مشخص شده است و شما نمی توانید آنها را به همین شکل دریافت کنید.

    FSTEC چنین سیستم هایی را IDS (سیستم های تشخیص نفوذ) می نامد که فوق العاده راحت است، زیرا نمی توانید گواهینامه FSB و FSTEC را با هیچ چیز اشتباه بگیرید =) با ذات الزامات FSTEC کمی ساده تر است: حداقل وجود دارد اطلاعات کلیدر نامه ای در وب سایت FSTEC، که در آن توضیح داده شده است که در مجموع شش کلاس حفاظتی IDS ایجاد شده است (ششمین پایین ترین کلاس است). هیچ نمایه حفاظتی مربوطه برای کلاس های شش تا چهار در وب سایت FSTEC وجود ندارد (اگرچه در نامه خلاف آن اشاره شده است)، اما در صورت تمایل می توانید آنها را در اینترنت پیدا کنید.

    در مجموع، طبق الزامات FSB، شش محصول (همه داخلی) و با توجه به الزامات جدید FSTEC، تا کنون تنها چهار محصول (دو محصول داخلی و دو محصول وارداتی) تایید شده اند. در عین حال، حتی قبل از اجرایی شدن الزامات جدید IDS توسط FSTEC گواهینامه FSTEC برای انطباق با مشخصات فنی (TU) وجود دارد، اما امروزه ما فقط به تولیدکنندگان داخلی علاقه مند هستیم و این تنها دو مورد از این موارد است. راه حل ها

    لیست نهایی شناسه های داخلی و گواهینامه های آنها به شرح زیر است:

    شما می توانید با من بحث کنید، اما به نظر من همه این محصولات به وضوح در رده "کاغذی ها" قرار می گیرند، هر چقدر هم که چنین تعریفی برای آنها توهین آمیز به نظر برسد.

    متأسفانه، برای برخی از راه حل ها، فقط اطلاعات جزئی در دسترس عموم است که ظاهراً به دلیل دامنه بسیار خاص آنها است. از نظر سیستم های تشخیص حمله داخلی، تقریباً آموزنده ترین منبع این ارائه توسط نماینده FSB D.N. شیطان. توضیحات همه محصولات موجود در اینترنت به آن اضافه شده است و برای اینکه اطلاعات کاتالوگ در پست تکراری نشود، فقط لینک محصولات را می دهم.

    امروزه، قابلیت‌های تشخیص نفوذ در حال تبدیل شدن به افزودنی‌های ضروری برای زیرساخت امنیت اطلاعات هر شرکت بزرگ است. این سوال که آیا یک سیستم تشخیص نفوذ (IDS) ضروری است دیگر برای متخصصان امنیت اطلاعات یک سوال نیست، اما آنها با مشکل انتخاب چنین سیستمی برای یک سازمان خاص روبرو هستند. علاوه بر این، هزینه بالای چنین محصولاتی باعث می شود تا نیاز به استفاده از آنها با دقت بیشتری توجیه شود.

    انواع سیستم های تشخیص نفوذ

    تا به امروز، انواع مختلفی از IDS وجود دارد که در الگوریتم های مختلف نظارت بر داده ها و رویکردهای تجزیه و تحلیل آنها متفاوت است. هر نوع سیستم با ویژگی های خاصی از استفاده، مزایا و معایب مطابقت دارد.

    یکی از راه‌های طبقه‌بندی IDS بر اساس درک آنچه که آنها واقعاً کنترل می‌کنند است. برخی تمام ترافیک شبکه را نظارت می کنند و بسته های شبکه را تجزیه و تحلیل می کنند، برخی دیگر بر روی رایانه های جداگانه مستقر می شوند و سیستم عامل را برای علائم نفوذ نظارت می کنند و برخی دیگر معمولاً برنامه های کاربردی را نظارت می کنند.

    IDS از بخش شبکه محافظت می کند

    این دسته از IDS در حال حاضر رایج ترین در بین محصولات تجاری است. این سیستم معمولاً متشکل از چندین سرور تخصصی است که ترافیک شبکه را در بخش‌های مختلف شبکه تجزیه و تحلیل می‌کنند و پیام‌هایی را درباره یک حمله احتمالی به یک کنسول مدیریت متمرکز ارسال می‌کنند. هیچ برنامه دیگری بر روی سرورهای مورد استفاده IDS اجرا نمی شود، بنابراین می توان از آنها در برابر حمله محافظت کرد، از جمله با وسایل خاص. بسیاری از آنها می توانند در حالت "خفا" کار کنند، که شناسایی مهاجمان و تعیین موقعیت آنها در شبکه را دشوار می کند.

    مزایای:

    چندین سیستم با موقعیت مناسب می توانند یک شبکه بزرگ را کنترل کنند.

    استقرار آنها تأثیر کمی بر شبکه موجود دارد. چنین IDS هایی معمولاً دستگاه های غیرفعال هستند که ترافیک شبکه را بدون بارگیری شبکه با جریان های سرویس رهگیری می کنند.

    سیستم می تواند از حملات به خود کاملاً ایمن باشد، علاوه بر این، برخی از گره های آن می توانند برای مهاجمان نامرئی شوند.

    ایرادات:

    قادر به تشخیص حمله ای نیست که در زمان بارگذاری زیاد شبکه انجام شده است. برخی از توسعه دهندگان سعی در حل این مشکل با پیاده سازی IDS بر اساس سخت افزاری دارند که بیشتر دارد سرعت بالا. علاوه بر این، نیاز به تجزیه و تحلیل سریع بسته ها، توسعه دهندگان را مجبور می کند تا یک حمله را با آن شناسایی کنند حداقل هزینهمنابع محاسباتی، که به طور جدی کارایی تشخیص را کاهش می دهد.

    بسیاری از مزایای بخش‌های کوچک IDS (معمولاً یک پیوند اترنت پرسرعت در هر سرور) و ارائه پیوندهای اختصاصی بین سرورهایی که توسط همان سوئیچ ارائه می‌شوند. اکثر سوئیچ ها پورت های کنترل جهانی را ارائه نمی دهند که باعث کاهش دامنه کنترل سنسور COB می شود. در چنین سوئیچ‌هایی، یک پورت واحد اغلب نمی‌تواند تمام ترافیک عبوری از سوییچ را منعکس کند.

    قادر به تجزیه و تحلیل اطلاعات رمزگذاری شده نیست.

    حمله آغاز شده را بدون تجزیه و تحلیل درجه نفوذ گزارش کنید.

    IDS از یک سرور واحد محافظت می کند

    این سیستم ها با تجزیه و تحلیل فعالیت فرآیندها در سرور خاصی که روی آن نصب شده اند کار می کنند. اطلاعات مربوط به سروری را که کنترل می کنند جمع آوری کنند. این به IDS اجازه می دهد تا فعالیت های روی سرور را در سطح بالایی از جزئیات تجزیه و تحلیل کند و مشخص کند که کدام کاربران در حال انجام فعالیت های مخرب در سیستم عامل سرور هستند.

    برخی از IDS های این کلاس توانایی مدیریت گروهی از سرورها را با تهیه گزارش های متمرکز در مورد حملات احتمالی دارند که در کنسول مدیریت امنیت خلاصه شده است. برخی دیگر پیام های سازگار با سیستم های مدیریت شبکه تولید می کنند.

    مزایای:

    شناسایی حملاتی که IDS هایی را که از بخش شبکه محافظت می کنند، شناسایی نمی کنند، زیرا آنها ایده ای از رویدادهای بومی سازی شده در یک سرور خاص دارند.

    کار در شبکه ای که از رمزگذاری داده ها استفاده می کند، زمانی که اطلاعات قبل از ارسال به مصرف کننده به شکل واضح روی سرور باشد.

    روی شبکه های سوئیچ کار می کنند.

    ایرادات:

    مکانیسم های جمع آوری اطلاعات باید بر روی هر سروری که نظارت می شود نصب و نگهداری شود.

    می تواند توسط یک حریف آماده حمله و مسدود شود.

    آنها قادر به کنترل وضعیت در کل شبکه نیستند، زیرا آنها فقط بسته های شبکه دریافت شده توسط سروری را که روی آن نصب شده اند "می بینند".

    مشکلات در شناسایی و مقابله با حملات انکار سرویس؛

    از منابع محاسباتی سروری که کنترل می کنند استفاده می کنند و در نتیجه کارایی آن را کاهش می دهند.

    حفاظت از برنامه مبتنی بر IDS

    این سیستم ها وقایع رخ داده در داخل را کنترل می کنند برنامه جداگانهو اغلب هنگام تجزیه و تحلیل گزارش های سیستم برنامه، حملات را شناسایی می کند. توانایی برقراری ارتباط مستقیم با برنامه از طریق یک رابط سرویس، و همچنین دانش زیادی از برنامه در مورد برنامه، به این دسته از IDS اجازه می دهد تا نمای دقیق تری از فعالیت های مشکوک در برنامه ارائه دهند.

    مزایای:

    نظارت بر فعالیت ها در سطح بسیار بالایی از جزئیات، به آنها اجازه می دهد تا فعالیت های غیرمجاز کاربران را ردیابی کنند.

    قادر به کار در محیط های رمزگذاری شده است.

    برخی از کارشناسان خاطرنشان می‌کنند که تفاوت بین سیستم‌های مبتنی بر حفاظت برنامه و سیستم‌های مبتنی بر حفاظت از یک سرور منفرد همیشه به وضوح قابل مشاهده نیست، بنابراین در آینده هر دو کلاس به سیستم‌های تشخیص نفوذ مبتنی بر حفاظت از یک سرور ارجاع داده می‌شوند. سرور

    رویکردهای تحلیل رویدادها

    در حال حاضر، دو رویکرد اصلی برای تجزیه و تحلیل رویداد وجود دارد: تشخیص امضا و تشخیص ناهنجاری.

    IDS مبتنی بر امضا

    رویکرد تشخیص نفوذ مبتنی بر امضا، فعالیت‌هایی را شناسایی می‌کند که با مجموعه از پیش تعریف‌شده‌ای از رویدادها که به طور منحصربه‌فردی یک حمله شناخته‌شده را توصیف می‌کنند، مطابقت دارد. بنابراین، سیستم های مبتنی بر امضا باید برای شناسایی هر حمله شناخته شده از قبل برنامه ریزی شوند. این تکنیک فوق العاده موثر است و روش اصلی مورد استفاده در برنامه های تجاری است.

    مزایای:

    در شناسایی حملات بدون ایجاد تعداد قابل توجهی آلارم کاذب بسیار موثر است.

    ایرادات:

    سیستم های مبتنی بر امضا باید برای شناسایی هر حمله از قبل برنامه ریزی شده باشند و به طور مداوم با امضای حملات جدید به روز شوند.

    خود امضاها در بسیاری از سیستم‌های این کلاس نسبتاً محدود تعریف شده‌اند، که تشخیص انواع حملات سنتی را برای آنها دشوار می‌سازد، امضای آن‌ها کمی با امضای موجود در پایگاه داده آنها متفاوت است.

    سرگئی گرینیایف,
    کاندیدای علوم فنی، پژوهشگر ارشد
    [ایمیل محافظت شده]

    فناوری سیستم تشخیص نفوذ شبکه های کامپیوتر(OWL) کاملا جوان و پویا است. امروزه شکل گیری فعال بازار از جمله فرآیندهای جذب و ادغام شرکت ها در این حوزه در حال وقوع است. بنابراین، اطلاعات مربوط به سیستم های تشخیص نفوذ به سرعت منسوخ می شود، که مقایسه آنها را دشوار می کند. مشخصات فنی. لیست محصولات موجود در اینترنت در وب سایت SANS/NSA1 قابل اعتمادتر است، زیرا دائماً در حال اصلاح و تکمیل است. در مورد اطلاعات به زبان روسی، تقریباً به طور کامل وجود ندارد. در این مقاله، نویسنده سعی کرده است تا حد امکان لینک منابع اطلاعاتی اینترنتی را با موضوع تشخیص نفوذ قرار دهد (لیست این منابع در انتهای مقاله آمده است و ارجاعات به آن با اعداد در متن مشخص شده است. ).

    تشخیص نفوذ یک منطقه تحقیقات فعال برای بیش از دو دهه بوده است. اعتقاد بر این است که آغاز این مسیر در سال 1980 توسط مقاله جیمز اندرسون "مانیتورینگ تهدیدات" گذاشته شد. امنیت رایانه"2. اندکی بعد، در سال 1987، این جهت با انتشار مقاله "در مورد مدل تشخیص نفوذ" توسط دوروتی دنینگ3 توسعه یافت. این رویکرد روش شناختی را ارائه داد که الهام بخش بسیاری از محققان بود و پایه و اساس ایجاد محصولات تجاری در این زمینه را ایجاد کرد. تشخیص نفوذ

    سیستم های آزمایشی

    تحقیقات تشخیص نفوذ که در اوایل دهه 1990 انجام شد نیز تعدادی ابزار جدید را ایجاد کرد. با این حال، اکثر آنها تنها با هدف کاوش در مفاهیم اساسی رویکرد نظری توسط دانشجویان توسعه داده شدند و پس از پایان مطالعات نویسندگان، پشتیبانی و توسعه متوقف شد. در عین حال، این تحولات به طور جدی بر انتخاب جهت تحقیقات بعدی تأثیر گذاشت. توسعه اولیه سیستم‌های تشخیص نفوذ عمدتاً مبتنی بر معماری متمرکز بود، اما به دلیل رشد انفجاری در تعداد شبکه‌های مخابراتی برای اهداف مختلف، تلاش‌های بعدی بر روی سیستم‌هایی با معماری شبکه توزیع شده متمرکز شد.

    دو تا از محصولاتی که در اینجا توضیح داده شد، EMERALD و NetStat، بر اساس رویکردهای مشابهی هستند. سیستم سوم، Bro، به شما این امکان را می دهد که مشکلات نفوذ شبکه را با استفاده از تلاش برای اضافه بار یا فریب سیستم تشخیص نفوذ مطالعه کنید.

    زمرد

    EMERALD (نظارت رویداد که پاسخگویی به اختلالات زنده غیرعادی را فعال می کند)، بیشترین محصول مدرندر کلاس خود، توسعه یافته توسط SRI (http://www.sri.com). این خانواده از ابزارها برای بررسی مشکلات مرتبط با تشخیص ناهنجاری (انحراف کاربر از رفتار عادی) و تشخیص امضا (الگوهای مشخصه یک نفوذ) ایجاد شد.

    اولین کار SRI در این زمینه در سال 1983 با توسعه یک الگوریتم آماری که قادر به تشخیص تفاوت در رفتار کاربر بود شروع شد. کمی بعد، زیرسیستم تجزیه و تحلیل امضای نفوذ توسط سیستم خبره P-BEST6 تکمیل شد. نتایج تحقیق در یکی از نسخه های اولیه سیستم IDES7 پیاده سازی شد. این سیستم قادر است فعالیت های کاربران متصل به چندین سرور را به صورت بلادرنگ رصد کند. در سال 1992-1994 یک محصول تجاری NIDES8 ایجاد شد که همچنین برای محافظت از سرورهای فردی (مبتنی بر میزبان) و با استفاده از سیستم خبره P-BEST طراحی شده است. سپس، توسعه دهندگان یک جزء Resolver را به سیستم اضافه کردند که نتایج تجزیه و تحلیل آماری و تجزیه و تحلیل امضا را ترکیب کرد. رابط کاربری در NIDES نیز به طور قابل توجهی بهبود یافته است.

    سپس سیستم EMERALD ایجاد شد. نتایج آزمایش‌ها با IDES / NIDES را در نظر گرفت، اما این سیستم قبلاً برای اطمینان از امنیت بخش‌های شبکه (مبتنی بر شبکه) در نظر گرفته شده بود. هدف اصلی توسعه آن تشخیص نفوذ در شبکه های بزرگ ناهمگن است. کنترل و تحلیل چنین محیط هایی به دلیل ماهیت توزیع شده اطلاعات دریافتی دشوارتر است.

    EMERALD کاربران را بدون توجه به دامنه های مدیریت شده در یک مجموعه جمع می کند. هر دامنه مجموعه‌ای از خدمات شبکه لازم را ارائه می‌کند و یک خط‌مشی امنیتی فردی را پیاده‌سازی می‌کند و دامنه‌های فردی می‌توانند با دامنه‌های دیگر روابط اعتماد داشته باشند. در این حالت، استفاده از یک دستگاه متمرکز برای ذخیره و پردازش اطلاعات ورودی، امنیت کل سیستم را تضعیف می کند. برای چنین مواردی است که سیستم EMERALD بر اساس اصل "تفرقه بینداز و حکومت کن" طراحی شده است.

    مدل سلسله مراتبی سه سطح تحلیل انجام شده توسط مانیتورهای سرویس، دامنه و محیط را ارائه می دهد. این بلوک ها دارای یک معماری پایه مشترک هستند که شامل مجموعه ای از آنالیزورها برای تشخیص ناهنجاری، تجزیه و تحلیل امضا و یک جزء حل کننده است. دومی نتایج به دست آمده از تحلیلگرهای دو سطح قبلی را ترکیب می کند. هر ماژول حاوی کتابخانه ای از اشیاء منبع است که به شما امکان می دهد اجزای آن را برای یک برنامه خاص سفارشی کنید. خود منابع می توانند در چندین مانیتور EMERALD دوباره استفاده شوند. در سطح پایین تر، مانیتورهای سرویس برای اجزای جداگانه و خدمات شبکه در یک دامنه کار می کنند، داده ها را تجزیه و تحلیل می کنند (فایل های گزارش اقدامات، رویدادها و غیره)، تجزیه و تحلیل امضای محلی و مطالعات آماری را انجام می دهند. مانیتورهای دامنه، اطلاعات دریافتی از مانیتورهای سرویس را پردازش می‌کنند، وضعیت را با جزئیات بیشتری در کل دامنه بررسی می‌کنند، و مانیتورهای محیطی تجزیه و تحلیل منطقه متقابل دامنه را انجام می‌دهند. مانیتورهای سرویس می توانند با استفاده از لینک های مجازی با یکدیگر ارتباط برقرار کنند.

    تجربه با NIDES اثربخشی روش های آماری را با کاربران و برنامه ها نشان داده است. کنترل برنامه های کاربردی (به عنوان مثال، یک سرور ftp ناشناس) به ویژه موثر بود، زیرا پروفایل های برنامه کمتری برای تجزیه و تحلیل مورد نیاز بود. به همین دلیل است که EMERALD روشی را پیاده سازی کرد که در آن مدیریت پروفایل از تجزیه و تحلیل جدا است.

    تجزیه کننده های امضای لایه سرویس اجزای دامنه را برای تشخیص توالی از پیش تعیین شده اقداماتی که منجر به موقعیت های غیرعادی می شوند، نظارت می کنند. تحلیلگرهای مشابه در مانیتورهای سطح بالاتر، این اطلاعات را فیلتر کرده و بر اساس آن ارزیابی می‌کنند که آیا یک حمله در حال وقوع است یا خیر. حل کننده، علاوه بر حسابداری پیچیده نتایج تجزیه و تحلیل، امکان ادغام آنالایزرهای شخص ثالث را در EMERALD فراهم می کند.

    یک مهاجم پیشرفته به دنبال پراکنده کردن آثار حضور خود در سراسر شبکه است و امکان شناسایی او را به حداقل می رساند. در چنین شرایطی، توانایی جمع آوری، خلاصه و تجزیه و تحلیل اطلاعات از منابع مختلف در زمان واقعی به ویژگی اصلی یک سیستم تشخیص نفوذ تبدیل می شود.

    از جمله مزایا می توان به انعطاف پذیری و مقیاس پذیری، توانایی گسترش عملکرد با استفاده از ابزارهای EMERALD خارجی اشاره کرد. اما مدیریت و پشتیبانی زیرساخت سیستم و پایگاه اطلاعاتی آن در قالب یک پایگاه دانش برای یک سیستم خبره نیازمند تلاش ها و هزینه های قابل توجهی است.

    نت استات

    NetStat جدیدترین از مجموعه ابزارهای STAT است که در دانشگاه کالیفرنیا، سانتا باربارا ایجاد شده است. تحقیقات پروژه STAT بر روی تشخیص نفوذ در زمان واقعی تمرکز دارد. برای این منظور، وضعیت سیستم ها و فرآیندهای انتقال در آنها تجزیه و تحلیل می شود. ایده اصلی این است که برخی از توالی اقدامات که به طور واضح وجود یک مزاحم را نشان می دهد، سیستم را از حالت اولیه (مجاز) به حالت غیرمجاز منتقل می کند.

    اکثر سیستم‌های تشخیص نفوذ متمرکز تعیین می‌کنند که آیا یک نفوذ بر اساس «هوک دنباله» رخ داده است یا خیر. ماژول Analyzer Trace Audit در STAT این اطلاعات را فیلتر کرده و خلاصه می کند (ردیابی). نتایجی که به فرمی مناسب برای تحلیل تبدیل می‌شوند، امضا نامیده می‌شوند و مهمترین عنصر در رویکرد STAT را نشان می‌دهند. توالی اقداماتی که توسط امضا توصیف می شود، سیستم را از طریق یک سری حالت به شکل غیرمجاز می برد. تهاجم با انتقال بین دولت ها تعیین می شود که در مجموعه قوانین تولید ثابت است.

    در ابتدا، این روش در سیستم USTAT9 UNIX که برای محافظت از سرورهای فردی طراحی شده بود، پیاده سازی شد. بلوک های اصلی USTAT یک پیش پردازنده، یک پایگاه دانش (پایه واقعیت و یک پایه قانون)، یک بلوک استنتاج و یک حل کننده است. پیش پردازنده داده ها را فیلتر کرده و به شکلی مرتب می کند که به عنوان یک فایل کنترل سیستم مستقل عمل می کند. پایه قانون، قوانین انتقال حالت را که با توالی های نفوذ از پیش تعریف شده مطابقت دارد، ذخیره می کند و پایه واقعیت، توصیفی از حالات سیستمی که به صورت پویا در حال تغییر در رابطه با نفوذهای احتمالی در حال انجام است را ذخیره می کند.

    پس از پردازش اطلاعات جدید در مورد وضعیت فعلی سیستم، بلوک استنتاج هرگونه تغییر مهم در وضعیت را شناسایی می کند و پایگاه واقعیت را به روز می کند. بلوک خروجی نیز به حل کننده اطلاع می دهد تخلفات احتمالیحفاظت. حل کننده نیز به نوبه خود، مدیر را از وضعیت غیرعادی مطلع می کند یا خود اقدامات لازم را آغاز می کند.

    یکی از مزایای این روش این است که می توان یک حمله را قبل از به خطر انداختن سیستم شناسایی کرد و بنابراین اقدامات متقابل می تواند زودتر شروع شود.

    USTAT از یک جدول بلوک استنتاج برای پیگیری هر نفوذ احتمالی استفاده می کند، که اجازه می دهد یک حمله هماهنگ از منابع متعدد شناسایی شود (نه از طریق توالی اقدامات مهاجم، بلکه از طریق توالی انتقال وضعیت سیستم). بنابراین، اگر دو حمله سیستم را به یک حالت بیاورند، هر یک از اقدامات بعدی آنها می تواند به عنوان یک شاخه در توالی قبلی از حالت ها منعکس شود. این انشعاب با تکثیر ردیف‌ها در جدول بلوک خروجی به دست می‌آید، که هر ردیف نشان دهنده یک توالی حمله متفاوت است.

    NetStat10 توسعه بیشتر USTAT است که بر پشتیبانی از تشخیص نفوذ در شبکه ای از سرورها با یک سیستم فایل توزیع شده متمرکز است. تعدادی از تغییرات قابل توجه در حال حاضر در معماری NetStat11 ایجاد شده است که منجر به تغییر جهت از ایمن سازی سرورهای فردی به ایمن سازی بخش های شبکه می شود. علاوه بر این، NetStat شامل مجموعه‌ای از کاوشگرها است که وظیفه شناسایی و ارزیابی نفوذ در زیرشبکه‌هایی را که روی آن‌ها کار می‌کنند را بر عهده دارند.

    داداش

    Bro یک ابزار تحقیقاتی است که توسط آزمایشگاه ملی لارنس لیورمور (http://www.llnl.gov) وزارت انرژی ایالات متحده توسعه یافته است. این برای بررسی مشکلات تحمل خطا در سیستم های تشخیص نفوذ طراحی شده است. ویژگی های اصلی مجموعه Bro12 را در نظر بگیرید.

    کنترل اضافه بار- توانایی مدیریت حجم زیادی از انتقال داده بدون تخریب پهنای باند. یک نفوذگر ممکن است سعی کند شبکه را با بسته های خارجی بیش از حد بارگذاری کند تا سیستم تشخیص نفوذ را غیرفعال کند. در این حالت، IDS مجبور به ارسال بسته هایی می شود که در میان آنها ممکن است بسته هایی وجود داشته باشند که توسط نفوذگران برای نفوذ به شبکه ایجاد شده اند.

    اطلاع رسانی در زمان واقعیبرای اطلاع رسانی به موقع و آماده سازی اقدامات پاسخ لازم است.

    مکانیسم جداسازیجداسازی سیاست‌های فیلتر کردن داده، شناسایی رویداد و پاسخ رویداد، عملیات و نگهداری سیستم را ساده می‌کند.

    مقیاس پذیری.شناسایی آسیب‌پذیری‌های جدید و همچنین محافظت در برابر انواع شناخته‌شده حملات، مستلزم قابلیت افزودن سریع اسکریپت‌های حمله جدید به کتابخانه داخلی اسکریپت است.

    توانایی مقاومت در برابر حملاتسناریوهای حمله پیچیده لزوماً شامل عناصر تأثیر بر سیستم تشخیص نفوذ هستند.

    این سیستم دارای معماری سلسله مراتبی با سه سطح عملکرد است. در سطح پایین، Bro از ابزار libpcap برای استخراج بسته های داده از شبکه استفاده می کند. این بلوک استقلال بلوک های اصلی تجزیه و تحلیل را از ویژگی های فنی شبکه مخابراتی که سیستم در آن مستقر است تضمین می کند و همچنین به شما امکان می دهد بخش قابل توجهی از بسته ها را در سطح پایین فیلتر کنید. این به libpcap اجازه می دهد تا تمام بسته های مربوط به پروتکل های برنامه (ftp، telnet و غیره) را بگیرد.

    سطح دوم (رویدادها) بررسی یکپارچگی بسته را در هدر انجام می دهد. هنگامی که خطا پیدا می شود، یک اعلان ایجاد می شود. مشکل احتمالی. پس از آن یک پروسه تایید شروع می شود و مشخص می شود که آیا محتویات کامل بسته ثبت شده است یا خیر.

    رویدادهایی که در نتیجه این فرآیند ایجاد می شوند در صفی قرار می گیرند که توسط مفسر اسکریپت خط مشی نظرسنجی می شود. خود فیلمنامه در سطح سوم سلسله مراتب قرار دارد. مترجم خط مشی به زبان داخلی Bro نوشته شده است که از تایپ قوی پشتیبانی می کند. مفسر مقادیر case را با کد مرتبط می کند تا آن مورد را مدیریت کند و سپس کد را تفسیر می کند.

    اجرای کد ممکن است منجر به ایجاد رویدادهای بیشتر، ثبت یک اعلان بلادرنگ یا ثبت اطلاعات شود. برای افزودن یک ویژگی جدید به قابلیت های Bro، باید توضیحی از تصویری که رویداد را مشخص می کند تهیه کرد و کنترل کننده های مناسب رویداد را نوشت. Bro در حال حاضر چهار سرویس کاربردی را کنترل می کند: انگشت، ftp، portmapper و telnet.

    Bro بر روی چندین نوع سیستم عامل یونیکس اجرا می شود و به عنوان بخشی از سیستم امنیتی آزمایشگاه ملی استفاده می شود. از سال 1998، در نتیجه عملکرد Bro، 85 گزارش حادثه به سازمان های بین المللی CIAC و CERT / CC منتقل شده است. توسعه دهندگان به ویژه عملکرد سیستم را مورد توجه قرار می دهند - در شبکه FDDI با حداکثر عملکرد تا 200 بسته در ثانیه مشکلات از دست دادن بسته را تجربه نمی کند.

    محصولات تجاری

    برنامه های تجاری، که مورد بحث قرار خواهد گرفت، بخش کوچکی از تعداد کل محصولات موجود در بازار است1، 13-14. ارزیابی مقایسه ای محصولات تجاری را می توان در تعدادی گزارش 15-19 یافت. سیستم های شرح داده شده در مقاله را می توان به عنوان نمونه های کلاسیک در نظر گرفت.

    برخلاف سیستم‌های آزمایشی که در بالا مورد بحث قرار گرفت، برای محصولات تجاری، یافتن توصیف عینی از مزایا و معایب بسیار دشوار است، به‌ویژه وقتی صحبت از آزمایش‌های آزمایشی می‌شود. یک استاندارد واحد برای آزمایش سیستم‌های تشخیص نفوذ در حال حاضر در حال توسعه است.

    cmds

    CMDS21,22 توسط Science Applications International (http://www.saic.com) توسعه داده شد اما اکنون توسط ODS Networks (http://www.ods.com) نگهداری و فروخته می شود. این محصول برای ایمن سازی سرورها و نظارت بر شبکه سلسله مراتبی ماشین ها طراحی شده است. روش‌های تشخیص آماری و امضا پشتیبانی می‌شوند و می‌توان گزارش‌هایی درباره پیش‌بینی‌های توسعه نفوذ ایجاد کرد. برای تجزیه و تحلیل ناهنجاری، CMDS استفاده می کند تحلیل آماری. رفتارهایی که از رویه عادی کاربر منحرف می شوند، شناسایی می شوند. آمارها شامل زمان ورود/خروج، راه اندازی برنامه، تعداد فایل های باز، اصلاح شده یا حذف شده، استفاده حقوق مدیر، پر استفاده ترین دایرکتوری ها.

    پروفایل های رفتار کاربر هر ساعت به روز می شود و برای شناسایی رفتار مشکوک در هر یک از سه دسته (شبکه سازی، اجرای برنامه، اطلاعات مرور) استفاده می شود. انحراف از رفتار مورد انتظار (در عرض یک ساعت) محاسبه می شود و اگر بالاتر از یک آستانه باشد، یک هشدار تولید می شود.

    تشخیص امضا توسط سیستم خبره CLIPS24 پشتیبانی می شود. حقایق مشتق شده از توضیحات رویداد، نام اشیاء استفاده شده و سایر داده ها برای نمایش قوانین CLIPS استفاده می شود.

    CMDS امضاهای حمله بر روی سیستم‌های یونیکس را تعریف می‌کند که به عنوان مثال، تلاش ناموفق برای ایجاد امتیازات ابرکاربر، شکست ورود به سیستم، فعالیت کاربر غایب، و اصلاح فایل حیاتی مرتبط است. هر یک از این رویدادها دارای مجموعه ای معادل از امضا برای سیستم عامل هستند ویندوز مایکروسافت NT.

    NetProwler

    NetProwler25-27 توسط Axent (http://www.axent.com)، بخشی از شرکت Symantec (http://www.symantec.com) از اواخر سال 2000 تولید می شود. مؤلفه Intruder Alert حملات به سرورها را شناسایی می کند و NetProwler (که قبلاً ID-Track از ابزارهای اینترنت نامیده می شد) از تشخیص نفوذ در بخش های شبکه پشتیبانی می کند. در قلب NetProwler فرآیند تجزیه و تحلیل پویا امضا کامل است. این روش بخش‌های کوچکی از اطلاعات استخراج‌شده از شبکه را در رویدادهای پیچیده‌تر ادغام می‌کند، که به شما امکان می‌دهد رویدادها را با امضاهای از پیش تعریف‌شده در زمان واقعی بررسی کنید و امضاهای جدیدی تولید کنید. NetProwler دارای کتابخانه ای از امضاها برای سیستم عامل های مختلف و انواع حملات است که به کاربران اجازه می دهد پروفایل های امضای خود را با استفاده از Signature Definition Wizard بسازند. به این ترتیب، کاربران می توانند حملاتی را توصیف کنند که شامل رویدادهای منفرد، تکرار شونده یا مجموعه ای از رویدادها است. امضای حمله شامل چهار عنصر است: یک جستجوی اولیه (الگوی رشته)، یک مقدار اولیه (مقدار یا محدوده مقادیر)، یک کلمه کلیدی ذخیره شده (نام پروتکل) و سیستم عامل (یا برنامه مرتبط با حمله).

    NetProwler همچنین از قابلیت پاسخ خودکار پشتیبانی می کند. همزمان ثبت نام و خاتمه جلسه، ارسال اطلاعات رویداد به کنسول مدیریت از طریق ایمیل و همچنین اطلاع رسانی به سایر پرسنل از طرق مختلف صورت می گیرد.

    نت رنجر

    NetRanger28-31 از Cisco Systems (http://www.cisco.systems) یک سیستم تشخیص نفوذ بخش شبکه است. از نوامبر 1999، این محصول سیسکو سیستم تشخیص نفوذ امن نامیده می شود. سیستم NetRanger در زمان واقعی کار می کند و تا سطح مقیاس پذیر است سیستم اطلاعات. این شامل دو جزء است - حسگرها و کارگردانان. سنسورها در سخت افزار پیاده سازی شده اند و کارگردان در نرم افزار است. سنسورها در نقاط استراتژیک شبکه قرار می گیرند و ترافیک عبوری را نظارت می کنند. آنها می توانند سرصفحه ها و محتوای هر بسته را تجزیه کنند و بسته های انتخاب شده را با یک الگو مطابقت دهند. آنها از یک سیستم خبره بر اساس قوانین تولید برای تعیین نوع حمله استفاده می کنند.

    NetRanger دارای سه دسته توصیف حمله است: اساسی، نامگذاری شده (با بسیاری از رویدادهای دیگر) و فوق العاده (دارای امضای بسیار پیچیده). برای اطمینان از سازگاری با اکثر استانداردهای شبکه موجود، پیکربندی خودکار امضاها امکان پذیر است.

    هنگامی که واقعیت یک حمله ثابت شود، سنسور یک سری اقدامات را آغاز می کند - روشن کردن زنگ هشدار، ثبت یک رویداد، از بین بردن یک جلسه، یا قطع کامل اتصال. مدیر مدیریت متمرکز سیستم NetRanger را فراهم می کند. این شامل نصب از راه دور امضاهای جدید در حسگرها، جمع آوری و تجزیه و تحلیل داده های امنیتی است.

    وضعیت اشیاء در سیستم (ماشین ها، برنامه ها، فرآیندها و غیره) در کنسول مدیر به صورت متن یا نماد نمایش داده می شود، در حالی که وضعیت هر دستگاه با یک رنگ خاص نشان داده می شود: عادی سبز است، مرزی است. زرد، و بحرانی قرمز است. سنسورها را می توان از کنسول کارگردان کنترل کرد و اطلاعات حمله را می توان به آن صادر کرد پایگاه داده رابطه ایداده ها برای تجزیه و تحلیل بیشتر

    سنتراکس

    تا همین اواخر، Centrax Anti-Tamper System (http://www.centraxcorp.com) با نام Entrax عرضه می شد. با این حال، در مارس 1999، Centrax توسط Cybersafe (http://www.cybersafe.com) خریداری شد، که تغییرات فنی قابل توجهی در Entrax ایجاد کرد و نام محصول را به Centrax32-34 تغییر داد. در ابتدا، سیستم Entrax بر تضمین امنیت سرورهای فردی متمرکز بود. Centrax همچنین رویدادهای بخش شبکه را نظارت می کند. این سیستم از دو نوع جزء تشکیل شده است - کنترل پنل ها و عوامل هدف، که شبیه به کارگردان ها و حسگرها در NetRanger هستند. عوامل هدف نیز به نوبه خود دو نوع هستند: برای جمع آوری اطلاعات بر اساس معماری متمرکز یا شبکه (توزیع شده). عوامل هدف دائماً روی ماشین‌هایی که کنترل می‌کنند (رایانه‌های شخصی، سرورهای فایل یا سرورهای چاپ) هستند و اطلاعات را برای پردازش به مرکز کنترل منتقل می‌کنند. برای عملکرد کارآمدتر، عامل هدف شبکه بر روی یک ماشین مستقل پیاده سازی می شود. عامل های نوع اول از بیش از 170 امضا (برای ویروس ها، تروجان ها، مشاهده اشیا و تغییر رمز عبور) پشتیبانی می کنند، در حالی که عامل های شبکه تنها 40 امضا را پشتیبانی می کنند.

    کنترل پنل از چندین بلوک تشکیل شده است. مدیر هدف، خط‌مشی جمع‌آوری و ممیزی را برای عوامل هدف دانلود می‌کند، مدیر ارزیابی سرورها را از نظر آسیب‌پذیری‌های امنیتی بررسی می‌کند، و مدیر اضطراری اطلاعاتی درباره تهدیدات شناسایی‌شده نمایش می‌دهد و می‌تواند با قطع کردن جلسه به آنها پاسخ دهد. کنسول کنترل با ویندوز NT کار می کند، در حالی که عوامل هدف با ویندوز NT یا سولاریس کار می کنند.

    RealSecure

    RealSecure19، 35-37 از Internet Security Systems (http://www.iss.net) یکی دیگر از محصولات تشخیص نفوذ بلادرنگ است. همچنین دارای یک معماری سه لایه است و از ماژول های شناسایی برای بخش های شبکه و سرورهای فردی و یک ماژول مدیر تشکیل شده است. ماژول تشخیص برای بخش ها در ایستگاه های کاری تخصصی کار می کند. مسئول تشخیص نفوذ و پاسخ به آن است. هر یک از این ماژول ها ترافیک را در یک بخش شبکه خاص برای امضاهای حمله نظارت می کند. به محض تشخیص یک اقدام غیرقانونی، ماژول شبکه می تواند با قطع اتصال، ارسال ایمیل یا پیام پیجر یا سایر اقدامات تعریف شده توسط کاربر به آن پاسخ دهد. همچنین یک سیگنال آلارم به واحد مدیریت یا کنترل پنل ارسال می کند.

    ماژول شناسایی برای سرورها افزودنی به ماژول شبکه است. این فایل های گزارش را به منظور شناسایی یک حمله تجزیه و تحلیل می کند. تعیین می کند که آیا حمله موفقیت آمیز بوده است یا خیر. اطلاعات دیگری را ارائه می دهد که در زمان واقعی در دسترس نیست. هر یک از این ماژول ها بر روی یک ایستگاه کاری یا سرور نصب می شود و فایل های گزارش سیستم را به طور کامل از نظر معیارهای نقض امنیتی بررسی می کند. ماژول هایی از این نوع با پایان دادن به فرآیندهای کاربر و تعلیق حساب های کاربری از نفوذ بیشتر جلوگیری می کنند. این ماژول می تواند آلارم ارسال کند، رویدادها را ثبت کند و سایر اقدامات تعریف شده توسط کاربر را انجام دهد. همه ماژول های تشخیص توسط ماژول اداری از یک کنسول منفرد ترکیب و پیکربندی می شوند.

    سیستم های عمومی

    علاوه بر سیستم های تجاری و تحقیقاتی، برنامه های عمومی آزادانه برای تشخیص نفوذ وجود دارد. به عنوان مثال، دو برنامه را در نظر بگیرید - Shadow و Network Flight Recorder، که با تلاش های مشترک مرکز عملیات زمینی نیروی دریایی ایالات متحده، Network Flight Recorder، آژانس امنیت ملی ایالات متحده و موسسه SANS38 و همچنین ابزار Tripwire پشتیبانی می شوند. سطح پشتیبانی آنها بسیار پایین تر از سیستم های تجاری است، با این حال، آنها به بسیاری از کاربران کمک می کنند تا اصول عملکرد IDS، قابلیت ها و محدودیت های آنها را درک و ارزیابی کنند. چنین سیستم هایی همچنین از این جهت جالب هستند که کد منبع آنها در دسترس است.

    سایه

    سیستم Shadow39, 40 شامل ایستگاه‌های حسگر و آنالیزورهایی است. سنسورها معمولاً در نقاط بحرانی شبکه مانند قسمت بیرونی فایروال ها قرار دارند، در حالی که آنالیزورها در داخل بخش محافظت شده شبکه قرار دارند. حسگرها هدر بسته ها را استخراج کرده و در یک فایل خاص ذخیره می کنند. تحلیلگر این اطلاعات را هر ساعت می خواند، آن را فیلتر می کند و گزارش بعدی را تولید می کند. منطق Shadow به این صورت است که اگر رویدادها از قبل شناسایی شده باشند و استراتژی پاسخگویی برای آنها وجود داشته باشد، پیام های هشدار دهنده تولید نمی شود. این اصل از تجربه سایر IDSها ناشی می شود که هشدارهای نادرست زیادی داشتند که بی جهت حواس کاربران را پرت می کرد.

    این حسگرها از ابزار libpcap که توسط گروه تحقیقاتی شبکه آزمایشگاهی لارنس برکلی 41 توسعه یافته است، برای استخراج بسته ها استفاده می کنند. ایستگاه داده ها را از قبل پردازش نمی کند، بدون اینکه مهاجم را مجبور به بررسی بسته های خود کند. تجزیه و تحلیل اصلی در ماژول tcpdump انجام می شود که حاوی فیلترهای بسته است. فیلترها می توانند ساده باشند یا از چندین فیلتر ساده تشکیل شده باشند. یک فیلتر ساده، مانند tcp_dest_port_23، بسته های TCP را با پورت مقصد 23 (تلنت) انتخاب می کند. تشخیص برخی از انواع نفوذها توسط فیلترهای tcpdump دشوار است (به ویژه آنهایی که از کاوشگر شبکه استفاده می کنند). برای این موارد، Shadow از یک ابزار مبتنی بر پرل، ماژول one_day_pat.pl استفاده می کند.

    Shadow روی بسیاری از سیستم های یونیکس از جمله FreeBSD و Linux اجرا می شود و از یک رابط وب برای نمایش اطلاعات استفاده می کند.

    ضبط کننده پرواز شبکه

    ضبط کننده پرواز شبکه (NFR) توسط شرکتی به همین نام در ابتدا در نسخه های تجاری و متن باز 42-44 وجود داشت. سپس خط مشی توزیع تغییر کرد: NFR کد منبع نسخه رایگان را بست زیرا نسبت به محصول تجاری موثرتر بود و کاربران ممکن است آن را با نسخه تجاری اشتباه بگیرند. با این حال، NFR همچنان قصد دارد محصول تجاری را برای مطالعه در دسترس نگه دارد، اما به احتمال زیاد دیگر در کدهای منبع نیست.

    درست مانند Shadow، NFR از یک نسخه کمی تغییر یافته از ابزار libpcap برای استخراج بسته های تصادفی از شبکه استفاده می کند (علاوه بر هدرها، می تواند بدنه بسته را نیز استخراج کند). پایگاه داده و ماژول تحلیل معمولاً بر روی یک پلتفرم خارج از فایروال ها کار می کنند. کپی‌هایی از NFR را می‌توان در نقاط استراتژیک داخلی شبکه شرکت قرار داد تا تهدیدات احتمالی کاربران خود شرکت را شناسایی کند.

    NFR حاوی زبان برنامه نویسی مخصوص به خود (N) برای شناسایی بسته است. فیلترهای نوشته شده در N در بایت کد کامپایل شده و توسط موتور زمان اجرا تفسیر می شوند.

    ماژول های تولید هشدار و گزارش پس از فیلتر کردن و تولید فرم های خروجی استفاده می شوند. ماژول هشدار می تواند اطلاعات رویداد را از طریق ایمیل یا فکس ارسال کند.

    Tripwire

    Tripwire یک ابزار ارزیابی یکپارچگی فایل است که در ابتدا در دانشگاه پوردو (ایندیانا، ایالات متحده آمریکا) توسعه یافته است. مانند NFR، این برنامه در هر دو سیستم عمومی و تجاری گنجانده شده است. کد منبع نسخه عمومی یونیکس آزادانه توزیع می شود. Tripwire با بسیاری از ابزارهای IDS دیگر تفاوت دارد زیرا تغییرات را در یک سیستم فایل قبلاً بررسی شده تشخیص می دهد.

    Tripwire چک‌سام‌ها یا امضاهای رمزنگاری فایل‌ها را محاسبه می‌کند. اگر چنین امضاهایی تحت شرایط ایمن محاسبه شده باشند و ذخیره آنها تضمین شده باشد (مثلاً ذخیره آفلاین بر روی یک رسانه غیر قابل بازنویسی)، می توان از آنها برای تعیین تغییرات احتمالی استفاده کرد. Tripwire را می توان طوری پیکربندی کرد که تمام تغییرات یک سیستم فایل بررسی شده را به مدیر گزارش دهد. می‌تواند در زمان‌های خاص بررسی‌های یکپارچگی انجام دهد و مدیران را از نتایج مطلع کند تا بتوانند سیستم فایل را بازیابی کنند. برخلاف اکثر IDS ها، Tripwire امکان بازیابی را همراه با تشخیص نفوذ فراهم می کند.

    منطق Tripwire به نوع رویداد بستگی ندارد، با این حال، این برنامه نفوذهایی را شناسایی نمی کند که فایل های بررسی شده را تغییر نمی دهند.

    آخرین نسخه تجاری Tripwire 2.X برای پلتفرم های UNIX و Windows NT 4.0 است. نسخه 2.0 برای Red Hat Linux 5.1 و 5.2 رایگان است. نسخه 1.3 در کد منبع موجود است و وضعیت برنامه را تا سال 1992 نشان می دهد.

    به گفته توسعه دهندگان، تمام نسخه های تجاری از نسخه 2.0 شامل امکان امضای رمزنگاری پنهان، زبان سیاست بهبود یافته و ابزار ارسال پیام به مدیر سیستم از طریق ایمیل است.

    برنامه های دولت آمریکا

    تفاوت با سیستم های تجاری

    IDS باید در درجه اول فعالیت های مشکوک در شبکه را شناسایی کند، هشدارهایی را صادر کند و در صورت امکان گزینه هایی را برای توقف چنین فعالیتی ارائه دهد. در نگاه اول، الزامات سیستم های تجاری و دولتی باید یکسان باشد. با این حال، تفاوت های مهمی بین آنها وجود دارد.

    در فوریه 1999، وزارت انرژی ایالات متحده، شورای امنیت ملی و دفتر سیاست علم و فناوری دولت ایالات متحده سمپوزیومی را با عنوان "تشخیص دشمن" ترتیب دادند. کد برنامه، نفوذها و رفتار غیرعادی با حضور نمایندگان بخش های تجاری و عمومی برگزار شد. مقاله تصویب شده در سمپوزیوم ویژگی هایی را مشخص کرد که نباید در محصولات تجاری وجود داشته باشد. واقعیت این است که شرکت ها فقط علاقه مند به محافظت از اطلاعات محرمانه برای اهداف تجاری هستند. دولت نیز علاقه مند به حفاظت از شبکه های خود است، اما وظیفه اصلی آن کسب سود نیست، بلکه حفظ امنیت ملی است. این نکته بسیار مهمی است. منابع و قابلیت های دشمن که توسط یک دولت خارجی حمایت می شود، ممکن است از توانایی های بهترین IDS تجاری فراتر رود.

    تفاوت مهم دیگری نیز وجود دارد. برای جلوگیری از تأثیر آن در اسرع وقت، کافی است شرکت ها شرح کلی فعالیت مشکوک را به دست آورند. همچنین برای سازمان های دولتی مهم است که انگیزه هایی را که متخلف را هدایت می کند، بیابند. در برخی شرایط، دولت ممکن است به طور انتخابی اطلاعات را برای اهداف اطلاعاتی یا اجرای حکم دادگاه رهگیری کند. محصولات نرم افزاری تجاری نه امروز و نه در آینده نزدیک با سیستم های حالت تخصصی برای رهگیری اطلاعات (مانند Carnivore) ادغام نمی شوند.

    این سمپوزیوم اعلام کرد که تولیدکنندگان محصولات تجاری روش هایی را برای ارزیابی عینی برنامه های تشخیص نفوذ توسعه نمی دهند. بنابراین، هیچ روش پذیرفته شده ای برای ارزیابی برنامه های این کلاس وجود ندارد. چنین تنظیمی اصولاً برای بازرگانان مناسب است، اما سازمان های دولتی که وظیفه اصلی آنها حفاظت از امنیت ملی است، باید بدانند که PDS چه می کند و چگونه کار می کند.

    مشکل دیگر این است که IDS های تجاری به صورت رایگان در دسترس هستند. اگر از آنها برای نیازهای دولتی استفاده می کنید، پس از آن که متوجه شده اید در کدام سیستم ها استفاده می شود، یک متخلف بالقوه است سازمان های دولتی، می تواند همان محصول را بخرد و با مطالعه کامل آن، نقاط آسیب پذیری پیدا کند. برای جلوگیری از چنین شرایطی، سازمان های دولتی باید از محصولات غیرتجاری با طراحی خاص استفاده کنند. امروزه، ایالات متحده الزامات دولتی ویژه ای را برای برنامه های تشخیص نفوذ ایجاد کرده است که IDS های تجاری موجود آنها را برآورده نمی کنند.

    CIDDS

    CIDDS (سیستم مدیر تشخیص نفوذ مشترک، همچنین به عنوان مدیر CID شناخته می شود) یک محیط عملیاتی سخت افزاری و نرم افزاری تخصصی است که به عنوان بخشی از پروژه ابزارهای تشخیص نفوذ (IDT) مرکز جنگ اطلاعات نیروی هوایی ایالات متحده (AFIWC) توسعه یافته است. AFIWC نهادی است که مسئول توسعه IDS برای شبکه های نیروی هوایی ایالات متحده است. این شامل سرویس امنیت رایانه نیروی هوایی (AFCERT) است که مسئول توسعه عملیات روزانه برای مدیریت و ایمن سازی شبکه های اطلاعاتی است.

    CIDDS داده‌های ارتباط و فعالیت در زمان واقعی را از اندازه‌گیری خودکار رویداد امنیتی (ASIM)، سیستم‌های حسگر و سایر IDS‌های ابزاردار دریافت می‌کند. تجزیه و تحلیل داده های جمع آوری شده به صورت زیر امکان پذیر است حالت خودکارو با مشارکت تحلیلگران خبره.

    نرم افزار CID Director از برنامه های C، C++ و جاوا و همچنین اسکریپت ها و پرس و جوهای SQL از پایگاه داده Oracle تشکیل شده است. مدیر اطلاعات را در یک پایگاه داده محلی Oracle ذخیره می کند و به کاربر امکان تجزیه و تحلیل شاخص های فعالیت های بالقوه خطرناکی را که در شبکه های نیروی هوایی ایالات متحده با آنها مواجه می شود، ارائه می دهد. مجاز الف) شناسایی فعالیت های بالقوه خطرناک، مخرب یا غیرمجاز که در طول زمان رخ می دهد. ب) تشخیص اقداماتی که هدف دارند کامپیوترهای خاصیا انواع شبکه ها؛ ج) شناسایی فعالیت‌هایی که شبکه‌های متعددی را انتقال می‌دهند یا درگیر می‌کنند. د) تجزیه و تحلیل روندها و اهداف جهانی. CIDDS همچنین شامل قابلیت پخش مجدد داده های اتصال در زمان واقعی برای تجزیه و تحلیل دنباله های ضربه زدن به کلید است.

    CIDDS ذخیره سازی و تجزیه و تحلیل متمرکز داده ها را برای سیستم ASIM فراهم می کند. کارگردان داده ها را از حسگرهای مختلف دریافت می کند که وضعیت همه شبکه های بی بی سی را نظارت می کند. این شبکه ها می توانند همگن یا ناهمگن باشند و به ماموریت های مختلف نیروی هوایی خدمت کنند. CIDDS به عنوان یک پایگاه داده مرکزی و نقطه تجزیه و تحلیل برای همه شبکه های فهرست شده عمل می کند.

    برنامه های توسعه آتی شامل نصب CIDDS در سطوح مختلف در تمام ساختارهای نیروی هوایی است. همه سیستم ها اطلاعات اولیه را به یک پایگاه داده AFCERT ارسال می کنند.

    هر کامپیوتر CID Director به یک سیستم حسگر ASIM متصل است. نرم افزار حسگر شامل ماژول های C و جاوا، اسکریپت های پوسته یونیکس (بورن) و فایل های پیکربندی است که برای فیلتر کردن بسته ها و تجزیه و تحلیل شرایط شبکه با هم کار می کنند. در اصل، این یک ابزار برای رهگیری و تجزیه و تحلیل بسته های داده ناهمگن است. نرم افزار آن ترافیک IP، TCP، UDP و ICMP را برای شناسایی فعالیت های مشکوک نظارت می کند. دو حالت عملکرد سنسور وجود دارد - دسته ای و زمان واقعی.

    ASIM بلادرنگ از همان ماژول نرم‌افزاری برای جمع‌آوری ترافیک مانند حالت انفجاری استفاده می‌کند. با این حال، رویدادهای بلادرنگ شناسایی می‌شوند که ممکن است نشان‌دهنده تلاش‌های دسترسی غیرمجاز باشند و در زمان وقوع آنها، یک فرآیند اضطراری بلافاصله در سرور حسگر آغاز می‌شود و یک هشدار برای مدیر ارسال می‌شود. هشدارهای بلادرنگ معمولاً فقط حاوی اطلاعات اولیه هستند. اطلاعات اضافی در مورد اقدامات مهاجم را می توان از رونوشت بعدی اقدامات به دست آورد.

    حسگر ASIM حالت پشت سر هم ترافیک شبکه را در یک دوره زمانی با مدت زمان قابل تنظیم، معمولاً 24 ساعت جمع آوری می کند. پس از جمع بندی، داده ها تجزیه و تحلیل می شوند و در صورت نیاز، می توانند از کنسول محلی مشاهده شوند یا به دفتر مرکزی AFIWC/AFCERT منتقل شوند. . هر روز، داده‌های جمع‌آوری‌شده رمزگذاری می‌شوند و برای تجزیه و تحلیل توسط یک تحلیلگر متخصص به AFIWC/AFCERT ارسال می‌شوند، که تعیین می‌کند آیا فعالیت‌های شناسایی‌شده مخرب، غیرمجاز یا به طور معمول مجاز هستند.

    نتیجه

    در حال حاضر، در زمینه IDS، انتقال به ایجاد سیستم هایی با تمرکز بر حفاظت از بخش های شبکه وجود دارد. بازار ایالات متحده با وضعیت زیر مشخص می شود: سیستم های تجاری به طور قابل توجهی با محصولات نرم افزاری که برای استفاده در سازمان های دولتی توصیه می شوند تفاوت دارند. لازم به ذکر است که این یک روند کلی در زمینه فناوری اطلاعات است - فقط باید از سیستم های ایجاد شده خاص که در بازار موجود نیستند برای اطمینان از امنیت موسسات عمومی استفاده شود. دومی یک تفاوت مشخص دارد: آنها بر روی الگوریتم های خودکار برای تشخیص علائم نفوذ متمرکز نیستند، بلکه بر روی تحلیلگران خبره ای متمرکز هستند که روزانه داده های ارسال شده را ارزیابی می کنند.

    توسعه دهندگان داخلی باید به سیستم های توزیع شده آزادانه در کدهای منبع توجه کنند. در شرایطی که عملاً هیچ پیشرفت داخلی در این زمینه وجود ندارد، در دسترس بودن کدهای منبع برنامه ها به ما این امکان را می دهد که ویژگی های محصولات این کلاس را مطالعه کرده و توسعه های خود را شروع کنیم.

    منابع اطلاعاتی ذکر شده در مقاله

    1. استوکسدیل، گریگوری. (آژانس امنیت ملی). فهرست ابزارهای تشخیص نفوذ SANS/NSA. WWW: http://www.sans.org/NSA/idtools.htm.
    2. اندرسون، جیمز پی. نظارت و نظارت بر تهدیدات امنیت رایانه. فورت واشنگتن، PA: جیمز پی اندرسون شرکت.
    3. دنینگ، دوروتی ای. (SRI International). یک مدل تشخیص نفوذ IEEE Transactions on Software Engineering (SE-13)، 2 (فوریه 1987): 222-232.
    4. موکرجی، بیسوانات; هبرلین، ال. تاد; و لویت، کارل ان. (دانشگاه کالیفرنیا، دیویس). تشخیص نفوذ شبکه IEEE Network 8, 3 (مه/ ژوئن 1994): 26-41. WWW: http://seclab.cs.ucdavis.edu/papers.html.
    5. اندرسون، دبرا و همکاران (SRI International). تشخیص رفتار غیرمعمول برنامه با استفاده از مؤلفه آماری سیستم خبره تشخیص نفوذ نسل بعدی (NIDES) (SRICSL-95-06). Menlo Park, CA: Computer Science Laboratory, SRI International, May 1995. WWW: http://www.sdl.sri.com/nides/index5.html.
    6. Lindqvist، Ulf & Porras، Phillip A. تشخیص سوء استفاده از رایانه و شبکه از طریق مجموعه ابزارهای سیستم خبره مبتنی بر تولید (P-BEST). مجموعه مقالات سمپوزیوم IEEE در سال 1999 در مورد امنیت و حریم خصوصی. اوکلند، کالیفرنیا، 9-12 مه، 1999. WWW: http://www2.csl.sri.com/emerald/pbest-sp99-cr.pdf.
    7. لانت، ترزا اف.، و همکاران. (SRI International). یک سیستم خبره تشخیص نفوذ در زمان واقعی (IDES). WWW: http://www2.csl.sri.com/nides.index5.html.
    8. اندرسون، دبرا؛ فریولد، تان؛ و والدز، آلفونسو. (SRI International). سیستم خبره تشخیص نفوذ نسل بعدی (NIDES)، خلاصه (SRI-CSL-95-07). Menlo Park, CA: Computer Science Laboratory, SRI International, May 1995. WWW: http://www.sdl.sri.com/nides.index5.html.
    9. کمرر، ریچارد ا.، و همکاران. (دانشگاه کالیفرنیا، سانتا باربارا). پروژه های STAT WWW: http://www.cs.ucsb.edu/~kemm/netstat.html/projects.html.
    10. کمرر، ریچارد A. (دانشگاه کالیفرنیا، سانتا باربارا). NSTAT: یک سیستم تشخیص نفوذ شبکه در زمان واقعی مبتنی بر مدل (TRCS97-18). نوامبر 1997. WWW: .
    11. ویگنا، جیووانی و کمرر، ریچارد ای. (دانشگاه کالیفرنیا، سانتا باربارا). NetSTAT: یک رویکرد تشخیص نفوذ مبتنی بر شبکه. مجموعه مقالات چهاردهمین کنفرانس سالیانه برنامه های کاربردی امنیت رایانه. اسکاتسدیل، AZ، ​​دسامبر 1998 . در دسترس WWW: http://www.cs.ucsb.edu/~kemm/netstat.html/documents.html.
    12. پکسون، ورن. (آزمایشگاه ملی لارنس برکلی). برادر: سیستمی برای شناسایی متجاوزان شبکه در زمان واقعی، مجموعه مقالات هفتمین سمپوزیوم امنیتی USENIX. سن آنتونیو، تگزاس، ژانویه 1998. WWW: http://www.aciri.org/vern/papers.html.
    13. سوبیری، مایکل. صفحه سیستم های شناسه مایکل سوبیری WWW: http://www-rnks.informatik.tucottbus.de/~sobirey/ids.html.
    14. مرکز تحلیل فناوری اطلاعات تضمینی. گزارش ابزار تضمین اطلاعات. WWW: http://www.iatac.dtic.mil/iatools.htm.
    15. نیومن، دیوید؛ گیورگیس، تادسه؛ و یاوری عیسیلو، فرهاد. سیستم های تشخیص نفوذ: یافته های مشکوک WWW: http://www.data.com/lab_tests/intrusion.html.
    16. نیومن، دیوید؛ گیورگیس، تادسه؛ و یاوری عیسیلو، فرهاد. سیستم های تشخیص نفوذ: یافته های مشکوک-II. WWW: http://www.data.com/lab_tests/intrusion2.html.
    17. نیومن، دیوید؛ گیورگیس، تادسه؛ و یاوری عیسیلو، فرهاد. سیستم های تشخیص نفوذ: یافته های مشکوک-III. WWW: http://www.data.com/lab_tests/intrusion3.html.
    18. اسکامبری، جوئل؛ مک کلور، استوارت؛ و برودریک، جان. (InfoWorld Media Group Inc.). راه حل های تشخیص نفوذ شبکه InfoWorld 20, 18 (4 مه 1998). WWW: http://www.infoworld.com/cgi-bin/displayArchive.pl?/98/18/intrusa.dat.htm.
    19. فیلیپس، کن. (هفته کامپیوتر). One if by Net، Two if by OS. WWW: http://www.zdnet.com/products/stories/reviews/0.4161.389071.00.html.
    20. آزمایشگاه MIT لینکلن ارزیابی تشخیص نفوذ DARPA. WWW: http://www.ll.mit.edu/IST/ideval/index.html.
    21. ون رایان، جین. مرکز فناوری امنیت اطلاعات SAIC نسخه 3.5 CMDS را منتشر کرد. WWW: http://www.saic.com/news/may98/news05-15-98.html.
    22. پروکتور، پل ای. (SAIC). مفاهیم سیستم تشخیص سوء استفاده رایانه ای (CMDS). WWW: http://cpits-web04.saic.com/satt.nsf/externalbycat.
    23. ODS Networks Inc. CDMS: سیستم تشخیص سوء استفاده کامپیوتری. WWW: http://www.ods.com/security/products/cmds.shtml.
    24. رایلی، گری. CLIPS: ابزاری برای ساختن سیستم های خبره. WWW: http://www.ghg.net/clips/CLIPS.html.
    25. AXENT Technologies Inc. NetProwler-Advanced Network Intrusion Detection. WWW: http://www.axent.com/iti/netprowler/idtk_ds_word_1.html.
    26. AXENT Technologies Inc. نت پراولر WWW: http://www.axent.com/product/netprowler/default.htm.
    27. AXENT Technologies Inc. Netprowler II. WWW: http://www.axent.com/product/netprowler/npbrochure.htm.
    28. سیسکو NetRanger.WWW: http://www.cisco.com/warp/public/778/security/netranger.
    29. سیسکو سیستم تشخیص نفوذ NetRanger. WWW: http://www.cisco.com/warp/public/778/security/netranger/prodlit
      /netra_ov.htm
    30. سیسکو سیستم تشخیص نفوذ NetRanger. WWW: http://www.cisco.com/warp/public/778/security/netranger/netra_ds.htm.
    31. سیسکو NetRanger - مفاهیم عمومی. WWW: http://www.cisco.com/warp/public/778/security/netranger/netra_qp.htm.
    32. CyberSafe Corp. سوالات متداول Centrax. WWW: http://www.centraxcorp.com/faq.html.
    33. CyberSafe Corp. Centrax: ویژگی ها و پیشرفت های جدید در Centrax 2.2. WWW: http://www.centraxcorp.com/centrax22.html.
    34. CyberSafe Corp. سوالات متداول Centrax. WWW: http://www.centraxcorp.com/faq.html.
    35. سیستم های امنیت اینترنت امن واقعی WWW: http://www.iss.net/prod/realsecure.pdf.
    36. سیستم های امنیت اینترنت سیستم مورد نیاز RealSecure WWW: RS%20sys%20reqs">http://www.iss.net/reqspec/reqDisplay.php3?pageToDisplay=RS%20sys%20reqs.
    37. سیستم های امنیت اینترنت امضاهای حمله RealSecure. WWW: http://www.iss.net/reqspec/linkDisplay.php3?pageToDisplay=RS%20a.s.%20from%20DB.
    38. استوکسدیل، گرگ. اسناد CIDER. WWW: http://www.nswc.navy.mil/ISSEC/CID/.
    39. ایروین، ویکی؛ نورثکات، استفان؛ و رالف، بیل. (مرکز جنگ های سطحی نیروی دریایی). ایجاد قابلیت نظارت و تجزیه و تحلیل شبکه - گام به گام. WWW: http://www.nswc.navy.mil/ISSEC/CID/step.htm.
    40. نورثکات، استفان. (مرکز جنگ های سطحی نیروی دریایی، Dahlgren). تشخیص نفوذ: راهنمای گام به گام سبک سایه. گزارش موسسه SANS (نوامبر 1988).
    41. فلوید، سالی و همکاران (آزمایشگاه ملی لارنس برکلی). گروه تحقیقاتی شبکه LBNL. FTP: http://ftp.ee.lbl.gov/.
    42. Network Flight Recorder, Inc. مانیتورینگ گام به گام شبکه با استفاده از NFR. WWW: http://www.nswc.navy.mil/ISSEC/CID/nfr.htm.
    43. Ranum، Marcus J.، و همکاران. (Network Flight Recorder, Inc.). پیاده سازی یک ابزار تعمیم یافته برای نظارت بر شبکه. WWW: http://www.nfr.net/forum/publications/LISA-97.htm.
    44. Network Flight Recorder, Inc. ضبط کننده پرواز شبکه در عمل! WWW: http://www.nfr.net/products/technology.html.

    تشخیص نفوذ فرآیند شناسایی دسترسی غیرمجاز یا تلاش برای دسترسی غیرمجاز به منابع AS است.

    سیستم تشخیص نفوذ (IDS) به طور کلی یک سیستم نرم افزاری و سخت افزاری است که این مشکل را حل می کند.

    امضا - مجموعه ای از رویدادها یا اقداماتی که مشخصه آن است از این نوعتهدیدات امنیتی.

      سنسور یک بسته شبکه را دریافت می کند.

      بسته برای تجزیه و تحلیل به هسته ارسال می شود.

      مطابقت امضا بررسی می شود.

      اگر هیچ منطبقی وجود نداشته باشد، بسته بعدی از گره دریافت می شود.

      اگر مطابقت وجود داشته باشد، یک پیام هشدار ظاهر می شود.

      ماژول پاسخ نامیده می شود.

    خطاهای نوع اول و دوم:

      خطاهای نوع دوم، زمانی که مجرم درک شود سیستم امنیتیبه عنوان یک موضوع دسترسی مجاز

    همه سیستم هایی که از امضا برای تأیید دسترسی استفاده می کنند، مستعد خطاهای نوع II هستند، از جمله آنتی ویروس هایی که روی پایه آنتی ویروس کار می کنند.

    عملکرد سیستم IDS از بسیاری جهات شبیه فایروال است. حسگرها ترافیک شبکه را دریافت می‌کنند و هسته با مقایسه ترافیک دریافتی با سوابق پایگاه‌های اطلاعاتی امضای موجود، سعی در شناسایی آثار تلاش‌های دسترسی غیرمجاز دارد. ماژول پاسخ یک مؤلفه اضافی است که می تواند برای مسدود کردن سریع یک تهدید استفاده شود، به عنوان مثال، می توان یک قانون فایروال جدید ایجاد کرد.

    دو دسته اصلی IDS وجود دارد:

      IDS سطح شبکه در چنین سیستم هایی، حسگر بر روی یک میزبان (گره) که برای این منظور اختصاص داده شده است، یک بخش شبکه محافظت شده عمل می کند. معمولاً در حالت گوش دادن کار می کند تا تمام ترافیک شبکه در بخش را تجزیه و تحلیل کند.

      IDS در سطح میزبان اگر سنسور در سطح میزبان کار می کند، اطلاعات زیر را می توان برای تجزیه و تحلیل استفاده کرد:

      1. ورودی های به معنی استاندارد. ثبت سیستم عامل

        اطلاعات در مورد منابع مورد استفاده.

        پروفایل رفتار کاربر مورد انتظار

    هر نوع IDS مزایا و معایب خاص خود را دارد.

    IDS در سطح شبکه عملکرد کلی سیستم را کاهش نمی دهد، در حالی که IDS در سطح میزبان در شناسایی حملات و امکان تجزیه و تحلیل فعالیت های مرتبط با یک میزبان خاص موثرتر است. در عمل، استفاده از هر دو نوع توصیه می شود.

    ثبت و حسابرسی

    زیرسیستم ثبت و حسابرسی جزء اجباری هر AS است. Logging (logging) یک مکانیسم پاسخگویی سیستم امنیت اطلاعات است که تمام رویدادهای مربوط به امنیت اطلاعات را ثبت می کند. حسابرسی- تجزیه و تحلیل ثبت اطلاعات به منظور شناسایی سریع و جلوگیری از نقض رژیم امنیت اطلاعات.

    اهداف مکانیزم ثبت و حسابرسی:

      اطمینان از مسئولیت پذیری کاربر و مدیر.

      اطمینان از امکان بازسازی توالی وقایع (به عنوان مثال، در هنگام حوادث).

      شناسایی تلاش برای نقض رژیم امنیت اطلاعات.

      آشکار شدن مشکلات فنیارتباط مستقیمی با امنیت اطلاعات ندارد.

    داده های ثبت شده در دفترچه ثبت نام وارد می شود، که مجموعه ای از رکوردهای مرتب شده به ترتیب زمانی از نتایج فعالیت های افراد AS است که بر رژیم امنیت اطلاعات تأثیر می گذارد. فیلدهای اصلی چنین گزارشی به شرح زیر است:

      مهر زمان.

      نوع رویداد

      آغازگر رویداد

      نتیجه رویداد

    از آنجایی که گزارش‌های سیستم منابع اصلی اطلاعات برای ممیزی بعدی و شناسایی نقض‌های امنیتی هستند، مسئله محافظت از آنها در برابر تغییرات غیرمجاز باید مطرح شود. سیستم ثبت گزارش باید به گونه ای طراحی شود که هیچ کاربر واحدی، از جمله مدیران، نتوانند ورودی های گزارش سیستم را به شیوه ای دلخواه تغییر دهند.

    از آنجایی که فایل های گزارش روی یک رسانه یا رسانه دیگر ذخیره می شوند، دیر یا زود ممکن است مشکل کمبود فضا در این رسانه وجود داشته باشد، در حالی که پاسخ سیستم ممکن است متفاوت باشد، به عنوان مثال:

      ادامه عملیات سیستم بدون ورود به سیستم.

      سیستم را قفل کنید تا مشکل برطرف شود.

      به طور خودکار قدیمی ترین ورودی ها را در گزارش سیستم حذف کنید.

    گزینه اول از نظر امنیتی کمترین پذیرش را دارد.

    امروزه سیستم های تشخیص نفوذ و پیشگیری (IDS / IPS، سیستم تشخیص نفوذ / سیستم پیشگیری از نفوذ، یک اصطلاح روسی مشابه - IDS / SOA) یک عنصر ضروری برای محافظت در برابر حملات شبکه است. هدف اصلی چنین سیستم هایی شناسایی حقایق دسترسی غیرمجاز به آن است شبکه شرکتیو اتخاذ اقدامات متقابل مناسب: اطلاع رسانی به متخصصان امنیت اطلاعات در مورد واقعیت نفوذ، قطع اتصال و پیکربندی مجدد فایروال برای جلوگیری از اقدامات بعدی مهاجم، یعنی محافظت در برابر حملات هکرها و بدافزارها.

    شرح کلی تکنولوژی

    چندین فناوری IDS وجود دارد که در انواع رویدادهایی که شناسایی می شوند و روش مورد استفاده برای شناسایی حوادث متفاوت هستند. علاوه بر عملکرد نظارت و تجزیه و تحلیل رویدادها برای شناسایی حوادث، همه انواع IDS وظایف زیر را انجام می دهند:

    • ثبت اطلاعات رویدادهامعمولاً اطلاعات به صورت محلی ذخیره می شوند، اما می توانند به هر سیستم ثبت مرکزی یا سیستم SIEM ارسال شوند.
    • اطلاع رسانی به مدیران امنیتی در مورد حوادث امنیت اطلاعات.این نوع اعلان هشدار نامیده می شود و می تواند از طریق چندین کانال انجام شود: ایمیل، تله های SNMP، پیام های گزارش سیستم، کنسول مدیریت سیستم IDS. یک واکنش قابل برنامه ریزی با استفاده از اسکریپت ها نیز امکان پذیر است.
    • تولید گزارشگزارش ها برای خلاصه کردن تمام اطلاعات مربوط به رویداد(های) درخواستی ایجاد می شوند.

    فناوری IPSفناوری IDS را با این واقعیت تکمیل می کند که می تواند به طور مستقل نه تنها یک تهدید را شناسایی کند، بلکه با موفقیت آن را مسدود کند. در این سناریو، عملکرد IPS بسیار گسترده تر از IDS است:

    • IPS حمله را مسدود می کند (شکستن جلسه کاربر که خط مشی امنیتی را نقض می کند، مسدود کردن دسترسی به منابع، میزبان ها، برنامه ها).
    • IPS محیط محافظت شده را تغییر می دهد (تغییر پیکربندی دستگاه های شبکه برای جلوگیری از حمله).
    • IPS محتوای حمله را تغییر می دهد (به عنوان مثال، یک فایل آلوده را از یک پیام حذف می کند و آن را به گیرنده ای که قبلاً پاک شده است می فرستد، یا به عنوان یک پروکسی کار می کند، درخواست های دریافتی را تجزیه و تحلیل می کند و داده ها را در هدر بسته ها دور می زند).

    اما در کنار مزایای آشکار، این سیستم ها معایبی نیز دارند. برای مثال، IPS ممکن است همیشه نتواند یک حادثه امنیت اطلاعات را به دقت شناسایی کند یا ترافیک عادی یا رفتار کاربر را با یک حادثه اشتباه بگیرد. در نوع اول، مرسوم است که در مورد یک رویداد منفی کاذب صحبت می شود، در نوع دوم، آنها از یک رویداد مثبت کاذب صحبت می کنند. باید در نظر داشت که حذف کامل وقوع آنها غیرممکن است، بنابراین سازمان در هر مورد می تواند به طور مستقل تصمیم بگیرد که کدام یک از این دو گروه از خطرات را باید به حداقل رساند یا پذیرفت.

    مختلف وجود دارد تکنیک های تشخیصحوادث از طریق فناوری های IPS. بیشتر پیاده‌سازی‌های IPS از مجموع این فناوری‌ها برای ارائه درجه بالاتری از تشخیص تهدید استفاده می‌کنند.

    1. تشخیص حمله بر اساس امضا.

    امضا الگویی است که حمله مربوطه را تعریف می کند. تشخیص حمله امضایی فرآیند مقایسه امضا با یک حادثه احتمالی است. نمونه هایی از امضاها عبارتند از:

    • اتصال تلنت کاربر "ریشه"، که نقض یک سیاست امنیتی خاص شرکت است.
    • ایمیل دریافتی با موضوع " تصاویر رایگان"، با فایل پیوست "freepics.exe"؛
    • لاگ سیستم عامل با کد 645، به این معنی که ممیزی میزبان غیرفعال است.

    این روش در شناسایی تهدیدات شناخته شده بسیار موثر است، اما در حملات ناشناخته (بدون امضا) بی اثر است.

    2. تشخیص حمله با رفتار غیرعادی

    این روش مبتنی بر مقایسه فعالیت عادی رویدادها با فعالیت رویدادهایی است که از سطح عادی منحرف می شوند. IPS با استفاده از این روش دارای به اصطلاح "پروفایل" است که رفتار عادی کاربران، گره های شبکه، اتصالات، برنامه ها و ترافیک را منعکس می کند. این پروفایل ها در طی یک «دوره یادگیری» در یک دوره زمانی مشخص ایجاد می شوند. به عنوان مثال، یک نمایه ممکن است 13 درصد افزایش ترافیک وب را در روزهای هفته ثبت کند. در آینده، IPS هنگام مقایسه از روش های آماری استفاده می کند ویژگی های مختلففعالیت واقعی با مقدار آستانه مشخص، هنگامی که از آن فراتر رفت، پیام مربوطه به کنسول مدیریت افسر امنیتی ارسال می شود. نمایه ها را می توان بر اساس بسیاری از ویژگی های برگرفته از تجزیه و تحلیل رفتار کاربر ایجاد کرد. مثلا با تعداد ارسال شده ایمیل ها، تعداد تلاش های ناموفق برای ورود به سیستم، سطح بارگذاری پردازنده سرور در یک بازه زمانی خاص و غیره. در نتیجه، این روش به شما امکان می دهد حملاتی را که فیلتر تجزیه و تحلیل امضا را دور زده اند، به طور موثر مسدود کنید و از این طریق در برابر حملات هکرها محافظت کنید.

    فناوری IDS/IPS در ALTELL NEO

    IDS/IPS مورد استفاده شرکت ما در فایروال‌های نسل جدید ALTELL NEO مبتنی بر فناوری باز Suricata است که مطابق با وظایف ما در حال نهایی شدن است. برخلاف IDS/IPS Snort که توسط توسعه دهندگان دیگر استفاده می شود، سیستمی که ما از آن استفاده می کنیم چندین مزیت دارد، به عنوان مثال، به شما امکان می دهد از GPU در حالت IDS استفاده کنید، سیستم IPS پیشرفته تری دارد، از چند وظیفه ای پشتیبانی می کند (که عملکرد بالاتری را ارائه می دهد). و خیلی بیشتر، از جمله پشتیبانی کامل از قالب قوانین Snort.

    باید در نظر داشت که برای عملکرد صحیح IDS / IPS به پایگاه های اطلاعاتی امضا به روز نیاز دارد. ALTELL NEO برای این منظور از پایگاه داده ملی آسیب پذیری باز و Bugtraq استفاده می کند. پایگاه های داده 2-3 بار در روز به روز می شوند که سطح بهینه ای از امنیت اطلاعات را تضمین می کند.

    سیستم ALTELL NEO می تواند در دو حالت کار کند: حالت تشخیص نفوذ (IDS) و حالت پیشگیری از نفوذ (IPS). فعال کردن توابع IDS و IPS در رابط دستگاه انتخاب شده توسط سرپرست رخ می دهد - یک یا چند. همچنین هنگام پیکربندی قوانین فایروال برای نوع خاصی از ترافیکی که می خواهید بررسی کنید، می توان توابع IPS را فراخوانی کرد. تفاوت عملکردی IPS IDS این است که در حالت IPS، حملات شبکه را می توان در زمان واقعی مسدود کرد.

    عملکرد سیستم تشخیص و پیشگیری از نفوذ در ALTELL NEO

    تابع حمایت کردن
    1. تشخیص آسیب پذیری ها (سوء استفاده ها) جزء ActiveX
    2. تشخیص ترافیک منتقل شده توسط گره های شبکه محلی داخلی، نمونه ای برای پاسخ های پس از یک حمله موفقیت آمیز
    3. تشخیص ترافیک شبکه سرورهای فرمان و کنترل بات نت (Bot C&C)
    4. تشخیص ترافیک شبکه مربوط به پروتکل ها و برنامه های پیام فوری
    5. تشخیص ترافیک شبکه از گره های شبکه در معرض خطر
    6. تشخیص ترافیک شبکه هدایت شده به سرورهای DNS
    7. تشخیص ترافیک معمولی برای حملات انکار سرویس (DoS، Denial of Service)
    8. تشخیص ترافیک شبکه، از گره‌ها از لیست Spamhaus Drop
    9. تشخیص ترافیک شبکه از میزبان هایی که به عنوان منابع حملات شناخته می شوند بر اساس لیست Dshield
    10. تشخیص ترافیک شبکه مخصوص برنامه های سوء استفاده کننده از آسیب پذیری ها (اکسپلویت ها)
    11. تشخیص ترافیک مخصوص بازی های رایانه ای
    12. تشخیص ترافیک شبکه ICMP، معمولی برای حملات شبکه، مانند اسکن پورت
    13. تشخیص ترافیک شبکه معمولی برای حملات به سرویس های IMAP
    14. شناسایی ترافیک شبکه نامعتبر که خط مشی امنیتی سازمان را نقض می کند
    15. تشخیص ترافیک شبکه مشخصه برنامه های مخرب (بدافزار)
    16. تشخیص ترافیک شبکه مخصوص کرم های شبکه با استفاده از پروتکل NetBIOS
    17 . تشخیص ترافیک شبکه، برنامه های اشتراک فایل نظیر به نظیر (P2P، شبکه های همتا به همتا)
    18. شناسایی فعالیت شبکه ای که ممکن است با خط مشی امنیتی سازمان در تضاد باشد (به عنوان مثال، ترافیک VNC یا استفاده از دسترسی FTP ناشناس)
    19. تشخیص ترافیک معمولی برای حملات به سرویس های POP3
    20. تشخیص ترافیک شبکه از گره های شبکه شبکه تجاری روسیه
    21. شناسایی حملات به سرویس های RPC (تماس رویه از راه دور).
    22. تشخیص ترافیک شبکه توسط اسکنر پورت
    23. شناسایی بسته‌های حاوی کد اسمبلی، دستورالعمل‌های سطح پایین، که کد فرمان نیز نامیده می‌شوند (مثلاً حملات سرریز بافر)
    24. تشخیص مشخصه ترافیک حملات به سرویس های SMTP
    25. کشف ترافیک شبکه SNMP
    26. کشف قانون برای برنامه های مختلفپایگاه های داده SQL
    27. تشخیص ترافیک شبکه پروتکل Telnet در یک شبکه
    28. تشخیص ترافیک شبکه مشخصه حملات به TFTP (FTP بی اهمیت)
    29. شناسایی ترافیک ناشی از فرستنده ای که از شبکه Tor برای ناشناس ماندن استفاده می کند
    30. تشخیص ترافیک تروجان
    31. شناسایی حملات به عوامل کاربر
    32. وجود امضای ویروس های رایج (به عنوان مکمل موتور ضد ویروس ALTELL NEO)
    33. تشخیص ترافیک شبکه معمولی برای حملات به خدمات VoIP
    34. تشخیص آسیب پذیری (سوء استفاده) برای مشتریان وب
    35. شناسایی حملات به سرورهای وب
    36. تشخیص حملات بر اساس تزریق SQL (حملات تزریق sql)
    37. تشخیص مشخصه ترافیک شبکه کرم های شبکه
    38. محافظت در برابر حملات هکرها

    قوانین امنیتی توسط جامعه تهدیدات نوظهور توسعه و بهبود یافته است و بر اساس چندین سال تجربه ترکیبی کارشناسان در زمینه حفاظت در برابر حملات شبکه است. قوانین به طور خودکار از طریق یک کانال امن به روز می شوند (برای این، اتصال اینترنت باید در ALTELL NEO پیکربندی شود). هر قانون با توجه به کلاس حمله از نظر فراوانی استفاده و اهمیت اولویتی دارد. سطوح اولویت استاندارد از 1 تا 3 است که اولویت "1" زیاد، اولویت "2" متوسط ​​و اولویت "3" کم است.

    مطابق با این اولویت‌ها، می‌توان اقدامی را تعیین کرد که سیستم تشخیص نفوذ و جلوگیری از نفوذ ALTELL NEO در زمان شناسایی ترافیک شبکه که با امضای قانون مطابقت دارد، در زمان واقعی انجام دهد. عمل ممکن است این باشد:

    • هشدار(حالت IDS) - ترافیک مجاز است و به گیرنده ارسال می شود. یک هشدار در گزارش رویداد نوشته می شود. این عمل به طور پیش فرض برای همه قوانین تنظیم شده است.
    • رها کردن(حالت IPS) - تجزیه و تحلیل بسته متوقف می شود، مقایسه بیشتر برای انطباق با قوانین باقی مانده انجام نمی شود. بسته حذف می شود و یک هشدار در گزارش نوشته می شود.
    • رد کردن(حالت IPS) - در این حالت، بسته حذف می شود و یک هشدار در گزارش نوشته می شود. در این صورت پیام مربوطه برای فرستنده و گیرنده بسته ارسال می شود.
    • عبور(حالت IDS و IPS) - در این حالت، تجزیه و تحلیل بسته متوقف می شود، مقایسه بیشتر برای انطباق با قوانین باقی مانده انجام نمی شود. بسته به مقصد خود ارسال می شود، هیچ هشداری ایجاد نمی شود.

    گزارش‌های مربوط به ترافیک عبوری از سیستم تشخیص نفوذ و جلوگیری از نفوذ ALTELL NEO را می‌توان در سیستم کنترل متمرکز ALTELL NEO طراحی شده خودمان تولید کرد، که داده‌های اولیه (هشدارها) را از یک یا چند دستگاه ALTELL NEO جمع‌آوری می‌کند.


    تست رایگان

    می توانید با پر کردن یک برنامه کوچک، عملکرد سیستم IDS/IPS تعبیه شده در ALTELL NEO در نسخه UTM را به صورت رایگان آزمایش کنید. همچنین می توانید پیکربندی دستگاه (حافظه اضافی، ماژول های توسعه، نسخه نرم افزار و ...) را انتخاب کرده و قیمت تقریبی آن را با استفاده از آن محاسبه کنید.

    بیشتر بخوانید: