-
-
- ثبت تهدیدات موجود برای یک سازمان
(( اینجا فقط تکه ای از متن درج شده است. برای خرید متن کامل فایل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. ))
-
سیستم های تشخیص نفوذ اطلاعات مفیدی درباره تهاجمات و نفوذهایی که واقع میشوند، ارائه میدهد و امکان عیب یابی، کشف، و تصحیح عاملهای کشف شونده را میدهد.
هدف IDS را می توان به طور کلی به دو بخش تقسیم کرد:
حسابرسی: قابلیت ارتباط دادن یک واقعه به شخص مسئول آن واقعه( نیازمند مکانیزم های شناسایی و رد یابی است.)
پاسخگویی یا واکنش: قابلیت شناخت حمله و سپس انجام عملی برای مقابله یا توقف آن و پیشگیری از تکرار آن
شکل ۲-۹: معماری یک سیستم تشخیص نفوذ[۱]
۲-۴-۴ جمع آوری اطلاعات
شامل عملیات جمع آوری داده از یک منبع اطلاعاتی و تحویل آنها به پیش پردازنده و موتور تحلیل می باشد. برای جمع آوری اطلاعات در سیستمهای مبتنی بر شبکه از ترافیک شبکه، سیستمهای مبتنی بر میزبان از دنبالههای ممیزی سیستمعامل و رویدادنامهها، و سیستمهای میتنی بر برنامه کاربردی از رویدادنامهها پایگاه داده و رویدادنامهها کارگزار وب استفادهمی شود[۱].
۲-۴-۵ تشخیص و تحلیل:
سازمان دهی اطلاعات و جستجوی علائم امنیتی در تشخیص مورد بررسی قرار میگیرد در تشخیص سوء استفاده، علائم حمله و تشخیص ناهنجاری، رفتار غیرنرمال را مورد بررسی قرار میگیرد[۱].
۲-۴-۶ تشخیص سوء استفاده[۲۸]:
شناخت حملات موجود و تعریف الگوی حملات برای موتور تحلیل با جستجوی مجموعه ای از وقایع که با یک الگوی از پیش تعریف شده مطابقت دارد، را انجام میدهد. نیاز به بروزرسانی الگوهای حمله است. روشهای پیادهسازی را با سیستم خبره، روش های مبتنی بر گذار حالات انجام می دهد. کاربرد آن در سیستمهای تجاریIDS است[۱].
۲-۴-۷ تشخیص ناهنجاری[۲۹]:
به شناخت عملکرد نرمال سیستم وتهیه نمایههای ی از رفتار نرمال سیستم برای موتور تحلیل می پردازد. در جستجوی فعالیت غیر نرمال است. روشهای پیادهسازی شامل روشهای آماری و داده کاوی است و بیشتر جنبه تحقیقاتی و کاربردی دارد.
۲-۴-۸ مقایسه بین تشخیص سوء استفاده و تشخیص ناهنجاری:
- تشخیص سو استفاده:
در این روش تشخیص حملات در حد حملات شناخته شده و سریع و با خطای کمتری انجام میگیرد.
- تشخیص ناهنجاری:
در این روش بیشتر تاکید روی تشخیص حملات ناشناخته است و از مشکلات این روش بالابودن درصد خطای مثبت غلط است.
۲-۴-۹ پیاده سازی سیستمهای تشخیص نفوذ:
۲-۴-۹-۱ روش های پیادهسازی تشخیص سوءاستفاده:
- سیستم خبره:
مکانیزمی برای پردازش حقایق و مشتق کردن نتایج منطقی از این حقایق، با توجه به زنجیرهای از قواعد است. در اینجا قواعد شامل الگو یا سناریوهای نفوذ و حقایق شامل وقایع رخداده در سیستم است.
از جمله مزیتهای این روش میتوان به ارائه حملات در قالب قواعد توسط کاربر بدون نیاز به دانستن نحوه عملکرد سیستم خبره و امکان اضافه کردن قواعد جدید بدون تغییر قواعد قبلی اشاره نمود.
معایب این روش شامل کارایی پایین، نامناسب بودن برای حجم زیاد داده ها و بیان ترتیب در قواعد میباشد[۱].
- روشهای مبتنی بر گذار حالت
این روش توسط گراف مدل می شود و از مفهوم حالت سیستم و گذار تکنیکهای انطباق الگو استفاده می شود.
سرعت زیاد از ویژگی این روش است الگوی حمله از حالت امن اولیه به سمت حالت خطرناک نهایی با گذر از چندین حالت است.
۲-۴-۹-۲ روش پیادهسازی تشخیص ناهنجاری
روشهای مبتنی بر کاربر: تولید نمایه از رفتار کاربران و مقایسه رفتار واقعی کاربران با نمایهها و یافتن رفتارهای غیر نرمال کاربران، برای پیاده سازی تشخیص ناهنجاری استفاده می کند.
روشهای پیادهسازی تشخیص ناهنجاری مبتنی بر کاربر
- تحلیل کمی
بیان نمایه با معیارهای عددی تعداد مجاز ورود ناموفق برای کاربر A، n است.
- تحلیل آماری
بیان نمایه با معیارهای آماری ورودی ناموفق برای کاربر A، تابع توزیع نرمال a است., IDES NIDE ,Haystack از این دستهاند.
- روشهای مبتنی بر قاعده