Intrusion Detection Systems based on Computational Intelligence

انواع دسته بندی سیستم های تشخیص نفوذ :

سیستم های تشخیص نفوذ را می توان از جهات مختلف دسته بندی کرد. شکل 1-1 یک نمونه از این دسته بندی را نشان می دهد[2].

  1. دسته بندی بر اساس روش تحلیل
  2. دسته بندی براساس منبع اطلاعاتی
  3. دسته بندی بر اساس معماری
  4. دسته بندی بر اساس واکنش به نفوذ
  5. دسته بندی بر اساس جنبه های زمانی
     

1) دسته بندی براساس روش تحلیل                   

1-1) روش تشخیص امضا :

روش تشخیص امضاء بر اساس داشتن الگویی از نفوذهای شناخته شده عمل میکند. در این روش، مسأله تشخیص نفوذ به یک مسأله دسته بندی تبدیل میشود و سیستم تشخیص نفوذ قادر است حمله هایی را که پیشتر الگوی آنها را در یک مرحله آموزشی فرا گرفته، تشخیص دهد. مهمترین خصیصه این روش آن است که سیستم امنیتی قادر است حمله های شناخته شده را با دقتی بالا و نرخ هشدار غلط خیلی کمتشخیص دهد. منظور از هشدار غلط هشداری است که هنگام عدم وقوع حمله توسط سیستم تشخیص نفوذ اعمال میگردد. وجود هشدار غلط حتی به میزان کم چنانچه بار ترافیکی عادی شبکه بالا باشد، باعث وقوع هشدارهای متعدد و خسته کننده میگردد. به همین دلیل نرخ تولید هشدار غلط توسط یک سیستم تشخیص نفوذبایستی تا حد امکان پایین باشد. البته ذکر این نکته ضروری است که پایین نگه داشتن نرخ مزبور سببکاهش توانایی سیستم در تشخیص حملات محتمل میگردد. به عبارتی بایستی میان دقت تشخیص بالا و نرخ هشدار غلط پایین نوعی تعادل برقرار نمود.]3[

 

1-2) روش تشخیص بر اساس ناهنجاری :

نوع دیگر سیستمهای تشخیص نفوذ با نام تشخیص ناهنجاری شناخته میشود. در این سیستمها مدلی برپایه داده های آماری از فعالیت عادی شبکه ساخته میشود. چنانچه در هر لحظه بار ترافیکی شبکه ازمرزی که بین فعالیتهای عادی و غیر عادی توسط سیستم مشخص شده تخطی کند، سیستم هشداریمبنی بر وقوع حمله میدهد. بدیهی است که سیستم هایی که با این روش پیاده سازی میشوند تواناییتشخیص حمله های جدید را دارند. در عین حال معمولا تعیین مرز میان رفتار عادی و غیر عادی درسیستمهای مزبور کار مشکلی است.

پس می توان گفت تکنیک های مبتنی بر ناهنجاری براین فرض بنا شده که بتوان رفتارهای مخربانه را از رفتارهای عادی سیستم تفکیک کرد[4]

تکنیکهای متعددی از تشخیص نفوذ در شبکه مبتنی بر تشخیص ناهنجاری تا کنون ارائه شده است که شامل تکنیکهای آماری تک متغیره و چند متغیره، مدلهای سری زمانی، ماشین حالت محدود، زبانهای توصیفی، سیستمهای خبره، شبکه های بیزین، مدلهای مارکوف، شبکه های عصبی، منطق فازی، الگوریتمهای ژنتیک، خوشه بندی و تشخیص دورافتاده می شوند

با توجه به انواع روشهای ذکر شده برای تشخیص نفوذ به شبکه، مشخص است که هر روش نقاط ضعف وقوت مربوط به خودش را دارا میباشد. دقت بالا در تشخیص حملات و نرخ هشدار غلط پایین از جملهویژگیهای اصلی در روش تشخیص امضاء میباشد. در عین حال روش مزبور توانایی تشخیص حمله های جدید را دارا نمی باشد. روش تشخیص ناهنجاری با وجود داشتن توانایی بالا در تشخیص حمله های جدید،دارای نرخ هشدار غلط بالایی است.

 

1-3) روش ترکیبی

در این روش که معمولا روش بهتری محسوب می شود سیستم تشخیص نفوذ مزایای دو حالت قبل را با هم مورد استفاده قرار می دهد. ابتدا سیستم حملات شناخته شده را بر اساس تکنیک های روش مبتنی بر امضاء پیدا می کند و برای سایر حملات جدید که الگویی برای شناسایی آنها در پایگاه اطلاعاتی خود ندارد از روش مبتنی بر ناهنجاری استفاده می کند[[6],[7 .[5],

 

 

2) دسته بندی براساس منبع اطلاعاتی

2-1) سیستم تشخیص نفوذ مبتنی بر میزبان(HIDS) :

این سیستمها داده ای را که در کامپیوتری که بعنوان میزبان یک سرویس است مثل سرور شبکه جمع آوری و مورد آزمایش قرار می دهند. در حالتیکه داده یک کامپیوتر جمع آوری گردید،      می تواند بصورت محلی مورد بررسی قرار گیرد یا به ماشین آنالیز مرکزی یا مجزا فرستاده شود. یکی از سیستمهای برپایه میزبان برنامه هایی هستند که بر روی یک سیستم عمل می­کنند و پیگیری وقایع برنامه های کاربردی یا سیستم عامل را دریافت می کنند. این برنامه ها برای شناسایی سوء استفاده های داخلی بسیار موثر هستند. اگر یکی از این کاربران تلاش کند تا فعالیت غیرقانونی انجام دهد، سیستمهای بر مبنای میزبان معمولاً بیشترین اطلاعات مربوطه را در سریعترین حالت ممکن جمع آوری و شناسایی می کنند.

         مزایا:

1.        قابلیت نشان دادن سریع شکست یا موفقیت یک حمله

2.        نظارت سطح پایین

3.        تشخیص و واکنش تقریبا بلادرنگ

4.        قابلیت عمل در محیطهای رمز شده

5.        اثربخشی و اقتصادی بودن

         معایب:

1.        امکان غیرفعال شدن سیستم در بخشی از حمله

2.        نیاز به انباره زیاد برای ذخیره اطلاعات

3.        سربار محاسباتی برای میزبان[8]

 

2-2) سیستم تشخیص نفوذ مبتنی بر شبکه[1] :

برخلاف نظارت بر فعالیتهایی که در یک شبکه خاص اتفاق می افتد، شناسایی نفوذ بر مبنای شبکه بسته های داده ای را بررسی می کند که در شبکه واقعی منتقل می شوند. این بسته ها مورد آزمایش قرار می گیرند و در بعضی اوقات با داده های تجربی مقایسه می شوند تا ذات آنها: با خطر یا     بی خطر مورد بازبینی قرار گیرد: از آنجائیکه آنها مسئول بررسی شبکه هستند، سیستمهای شناسایی نفوذ بر مبنای شبکه (NIDS) تمایل به انتشار بیشتری نسبت به سیستمهای شناسایی برپایه میزبان دارند. نرم افزار یا سخت افزار دستگاه در بعضی از موارد، در یک یا چند سیستم متصل می شود و برای آزمایش داده همچون بسته های شبکه مورد استفاده قرار می گیرد. بجای آنالیز اطلاعاتی که در کامپیوتر تولید و مستقر می­شوند، سیستم شناسایی نفوذ از تکنیکی به نام packet-sniffing برای اخذ داده از پروتکل TCP/IP یا دیگر بسته های پروتکل انتقالی در طول شبکه استفاده     می کند. تحت نظر گرفتن ارتباطات بین کامپیوترها باعث می شود تا سیستم شناسایی نفوذ بر پایه شبکه در شناسایی تلاشها برای دسترسی به شبکه مورد اعتماد از بیرون بصورت قوی عمل کند. در حالت کلی، سیستم های بر پایه شبکه در شناسایی فعالیتهای زیر بهترین عملکرد را دارند:

دسترسی از بیرون غیرمجاز: زمانیکه یک کاربر غیرمجاز با موفقیت وارد می شود یا برای ورود تلاش می کند، ردپای این کاربران به بهترین نحو توسط سیستم شناسایی نفوذ بر پایه میزبان تعقیب می گردد. درحالیکه، شناسایی کاربران غیر مجاز قبل از ورود آنها و در حال تلاش برای ورود توسط سیستم شناسایی نفوذ بر مبنای شبکه به بهترین نحو انجام می گردد.

دزدی پهنای باند/ رد کردن سرویس: این حملات از خارج شبکه منابع شبکه را برای سوء استفاده انتخاب می کنند. بسته هایی که این حملات را حمل می کنند به بهترین صورت می توانند توسط سیستم شناسایی نفوذ بر مبنای شبکه شناخته شوند.

         مزایا:

1.        قابلیت تشخیص حملاتی که سیستمهای مبتنی بر میزبان آنها را از دست می دهند چون ترافیک شبکه را در لایه انتقال نظارت می کنند.

2.        دشوار کردن حذف شواهد توسط مهاجم

3.        تشخیص و واکنش بلادرنگ

4.        قابلیت تشخیص حملات ناموفق و سوء قصدهای مخرب

5.        عدم تداخل با عملکرد معمولی شبکه

         معایب :

1.        عدم قابلیت عمل در محیطهای رمز شده مثل VPN

2.        نقاط کور شبکه که قادر به دیدن آنها نیستند.

3.        عدم عملکرد صحیح در ترافیک سنگین[8]

 

 

شکل 2 : NIDS باید در جایی قرار داشته باشد که ترافیک کل شبکه را مورد بررسی قرار دهد.


 

 

2-3) مدل ترکیبی:

بدیهی است بهترین حالت وقتی است که ترکیبی از دو حالت قبل یعنی NIDS و HIDS برای تشخیص حملات در شبکه داشته باشیم.

 

 3) دسته بندی از لحاظ معماری:

از لحاظ معماری می توان سیستم های تشخیص نفوذ را به دو حالت متمرکز و توزیع شده تقسیم بندی کرد. در حالت اول تمام پردازش ها دریک سیستم مرکزی انجام می پذیرد اما در حالت دوم هر سیستم بصورت جداگانه پردازش بسته ها را انجام می دهد.(در این حالت از Agent ها برای این پردازش ها استفاده می کنند.

     4) دسته بندی براساس واکنش به نفوذ:

برحسب اینکه بعد از تشخیص حملات چه عملیاتی توسط سیستم های تشخیص نفوذ انجام بگیرد به دو دسته فعال و غیر فعال می توان این سیستم ها را تقسیم بندی کرد. درحالت فعال سیستم، بعد از تشخیص حملات اقدام به هدایت فرد متخاصم به سمت کوزه عسل[2] و یا اقداماتی از این قبیل می نماید.


5) دسته بندی بر اساس جنبه های زمانی:

 و درنهایت سیستم های تشخیص نفوذ را بر اساس زمانبندی آنالیزها می توان به دو دسته تقسیم بندی کرد: بررسی بسته های شبکه بصورت ممتد یا همان بلادرنگ و بررسی بصورت دوره ای که در این حالت داده ها را ابتدا ذخیره کرده و در بازه های زمانی مختلف به تحلیل آنها و پیدا کردن حملات می پردازند و در صورت پیدا کردن نشانه های از حملات به مدیر شبکه هشدار می دهد.

 


[1] Network-based Intrusion Detection System

[2] Honeypot


safaie دوشنبه 12 مهر 1395 ساعت 20:28
نظرات 0 + ارسال نظر
امکان ثبت نظر جدید برای این مطلب وجود ندارد.