1. 1. مقدمه

همانطور که در فصل قبل گفته شد، توانایی سیستمهای تشخیص نفوذ در شناسایی فعالیت های نفوذی چه از درون و چه از بیرون از سیستم اطلاعاتی، سبب شده تا این سیستم ها از اجزای بسیار ضروری در حفظ امنیت ساختارهای اطلاعاتی گردند. سیستم های تشخیص نفوذ دارای سه عملکرد اصلی می باشند:

• نظارت و ارزیابی

• شناسایی نفوذ

• تعیین میزان خطر و اعلام آن

بر مبنای این که سیستم شناسایی نفوذ از چه روشی برای انجام عملکرد های فوق استفاده می کند و حوزه تحت بررسی آن، می توان این سیستم ها را دسته بندی کرد. در بخش ۲-۲ به بررسی معیارهایی می پردازیم که به ما در انجام این دسته بندی کمک می کنند. در این تحقیق تمرکز اصلی بر شناسایی نفوذگران در شبکه های کامپیوتری می باشد. در نتیجه در بخش ۲-۳ به معرفی جریان شبکه و بررسی بسته های داده می پردازیم. در ادامه جهت آشنایی بیشتر با فعالیت های نفوذگران در شبکه، در بخش ۲-۴ به بررسی انواع نفوذ و حمله در شبکه های کامپیوتری می پردازیم.

( اینجا فقط تکه ای از متن پایان نامه درج شده است. برای خرید متن کامل فایل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. )

• طبقه بندی سیستم های تشخیص نفوذ

همان طور که گفته شد، یک سیستم شناسایی نفوذ با نظارت بر فعالیت های کامپیوتری موجود در محیط و تحلیل آن، قادر به شناسایی فعالیت­های خبیثانه و آگاه کردن مدیر سیستم و یا مقابله با حمله می­باشد. این سیستم­ها را بر اساس معیارهای متفاوتی می­توان دسته­بندی کرد [۱۸]:

• منبع اطلاعاتی^[۱۶]

بر مبنای محل قرارگیری سیستم تشخیص نفوذ و نوع داده ای که مورد نظارت و بررسی قرار می گیرد، سیستم تشخیص نفوذ را می توان به دو گروه عمده تقسیم کرد:
سیستم تشخیص نفوذ مبتنی بر میزبان^[۱۷]
چنانچه اطلاعات مورد بررسی و تحلیل مرتبط با فعالیت­های یک سیستم کامپیوتری -مانند اطلاعات برنامه­ ها، منابع و یا رویدادها- باشد، در این حالت سیستم شناسایی نفوذ مبتنی بر میزبان نامیده می شود. این سیستم ها در قالب یک نرم افزار بر روی سیستم عامل میزبان مورد نظر نصب شده و شناسایی را انجام می دهد. این سیستم ها معمولا دارای یک سرویس می‌باشند که در پس زمینه فعالیت عادی سیستم عامل انجام می‌شود. عملکرد سیستم های مبتنی بر میزبان بر مبنای پایش لاگ‌های ماشین، رویداد‌های سیستمی، فعل و انفعالات نرم افزارهای کاربردی و ارتباطات میزبان در شبکه می باشد. این سیستم معمولا در میان سرور‌هایی که دارای کانال‌های رمزنگاری شده هستند و یا دارای ارتباط با سایر سرور‌ها هستند، مورد استفاده قرار می‌گیرند.
دو مشکل اساسی در سیستم های شناسایی مبتنی بر میزبان وجود دارد که به سادگی قابل برطرف کردن نیستند. اولین مشکل، وابستگی به ساختار سیستم میزبان است، اگر سیستم عامل میزبان شما دچار تغییرات ناگهانی در تنظیمات شود، منابعی که سیستم شناسایی نفوذ از آن‌ ها جهت شناسایی استفاده می‌کند دچار تغییرات می شود. در نتیجه نتایج تولید شده توسط سیستم دارای دقت نمی‌باشند. این باعث می‌شود که سیستم شناسایی نفوذ دچار اختلال شده و تصمیماتی که اتخاذ می‌کند صحیح نباشند. مشکل دیگری که در سیستم های مبتنی بر میزبان وجود دارد این است که بایستی برای تک تک سیستم‌هایی که نیاز به این سیستم دارند نصب و راه اندازی شود، همین موضوع می‌تواند مشکلات مدیریتی و دردسرهای نگهداری خاص خود را برای مدیران سیستم ایجاد کند.
یکی از مهم‌ترین و شاید بهترین قابلیت‌های سیستم های مبتنی بر میزبان، قابلیت گرفتن کد ایمنی^[۱۸] از فایل‌های موجود بر روی سیستم است. این قابلیت به مدیر سیستم این امکان را می‌دهد که متوجه شود که آیا فایل‌های روی سیستم دستکاری شده‌اند یا خیر. در این حالت بازگردانی اطلاعات کار نسبتا ساده‌ای خواهد بود زیرا مدیر سیستم می‌داند که کدامیک از فایل‌ها دچار دستکاری و تغییر شده‌اند. به خاطر داشته باشید که سیستم‌های تشخیص نفوذ تحت میزبان دارای واکنش غیرفعال هستند.
سیستم تشخیص نفوذ مبتنی بر شبکه^[۱۹]
در صورتی که سیستم شناسایی نفوذ در بخشی از شبکه نصب گردد و از ترافیک شبکه جهت شناسایی نفوذ استفاده کند، آن­گاه سیستم شناسایی نفوذ مبتنی بر شبکه نامیده می­ شود. سیستم های تشخیص نفوذ مبتنی بر شبکه نیاز به کلمه ی عبور برای برنامه های کاربردی، حقوق مربوط به سیستم عامل شبکه یا اتصالات مربوط به سیستم در هنگام اجرای نرم افزار ندارد. همچنین از آنجا که این سیستم ها در سطح لایه ی شبکه عمل می کنند، به سیستم عامل وابستگی ندارند. ضمناً هیچگونه سربار و تغییری روی سرویس دهنده ها و ایستگاه های کاری به وجود نمی آورند، چرا که برای این سیستم های تشخیص نفوذ نیازی به نصب ابزارهای اضافی نیست .عمدتا سیستم‌های تشخیص نفوذ تحت شبکه دارای واکنش فعال هستند.
سیستم های تشخیص نفوذ مبتنی بر شبکه از دو بخش ناظر^[۲۰] و عامل^[۲۱] تشکیل شده اند. ناظر قطعات و یا ترافیک شبکه را به منظور یافتن بسته های اطلاعاتی مشکوک بررسی می کند. عامل نرم افزاری است که معمولاً به طور جداگانه روی هر یک از کامپیوتر های مورد نیاز قرار می گیرد و نقش ارسال اطلاعات را به صورت بازخوردی به ناظر برعهده دارد. همچنین ممکن است بخش دیگری هم به نام کنسول مدیریت وجود داشته باشد که به شکلی مطمئن (با اعتبار سنجی و رمزنگاری) به ناظر متصل می شود و از آن گزارش دریافت می کند و نیز به تبادل اطلاعات مربوط به تنظیم پیکربندی سیستم می پردازد. این سیستم های تشخیص نفوذ با بهره گرفتن از تکنیک هایی مانند شنود بسته ها ، داده ها را از درون بسته های اطلاعاتی شبکه که در حال جریان و نقل و انتقال در شبکه می باشند، استخراج می کنند.
سیستم های شناسایی مبتنی بر شبکه دارای یک سری معایب هستند. به عنوان مثال به دلیل جمع آوری و تجزیه و تحلیل بسته های شبکه، در شبکه هایی با سرعت بالا دچار مشکل شده و قادر به عملکرد صحیح نیستند. به عنوان مثالی دیگر، چنانچه ترافیک شبکه رمز شده باشد، سیستم شناسایی نمی تواند حمله را تشخیص دهد. به طور کلی سیستم های شناسایی مبتنی بر شبکه، در شبکه های سوییچ شده دچار مشکل هستند.
بسته های داده در شبکه دارای دو بخش عنوان^[۲۲] و محتوا^[۲۳] می باشند. برخی سیستم شناسایی نفوذ تنها از اطلاعات موجود در قسمت عنوان استفاده می کنند که با نام روش های مبتنی بر جریان^[۲۴] شناخته می شوند. برخی دیگر از تمامی محتوای بسته اطلاعاتی استفاده می کنند که با نام روش های مبتنی بر بسته^[۲۵] شناخته می شوند. این دو روش در فصل ۳ به تفصیل بررسی می شوند.