خبرمقالات

آشنایی با سیستم تشخیص نفوذ (IDS)

تیم‌های امنیتی از سیستم تشخیص نفوذ (IDS[۱]) جهت تحلیل ترافیک شبکه، شناسایی فعالیت‌های مشکوک و ارسال هشدار استفاده می‌کنند. تعدادی از این سیستم‌ها حتی توانایی انجام اقدام در صورت شناسایی ترافیک ناهنجار یا فعالیت مخرب را دارند. برای مثال این سیستم‌ها می‌توانند ترافیک ارسالی از سمت آدرس‌های آی‌پی مشکوک را مسدود کنند.

بعضی از سیستم‌های تشخیص نفوذ به نوعی در تقابل با سیستم‌های جلوگیری از نفوذ (IPS[۲]) قرار دارند. راهکار امنیتی IPS هم مثل IDS بر ترافیک شبکه نظارت داشته تا ترافیک مخرب را شناسایی نماید. هدف اصلی از راه‌اندازی IPSها علاوه بر تشخیص، ثبت تهدیدات و اعلان هشدار را می‌توان جلوگیری و مقابله با نفوذهای سایبری دانست.

سیستم‌های تشخیص نفوذ چگونه کار می‌کنند؟

از سیستم‌های تشخیص نفوذ جهت شناسایی ناهنجاری‌ها و با هدف به دام انداختن هکرها پیش از ایجاد آسیب در شبکه استفاده می‌شود. سیستم‌های تشخیص نفوذ می‌توانند مبتنی بر شبکه، میزبان یا ابر باشند. IDS مبتنی بر میزبان، بر روی کلاینت‌ها نصب می‌شود در حالی که IDS مبتنی بر شبکه، در شبکه استقرار می‌یابد. سیستم‌های تشخیص نفوذ مبتنی بر ابر هم برای حفاظت از داده‌ها و سیستم‌های مستقر شده بر روی بستر ابر طراحی شده‌اند.

سیستم‌های تشخیص نفوذ به صورت پیوسته در حال تلاش برای شناسایی نشانه‌های حملات شناخته شده یا رفتارهای غیرعادی در شبکه‌ها و سیستم‌ها هستند. آنها به خوبی قابلیت تشخیص رویدادهای امنیتی و حملات مسموم‌سازی سیستم نام دامنه[۳] را دارند. ممکن است IDS به صورت یک نرم‌افزار بر روی سیستم مدنظر یا به عنوان یک تجهیز امنیتی در شبکه نصب شود.

Intrusion detection system

انواع مختلف سیستم‌های تشخیص نفوذ

انواع سیستم‌های تشخیص نفوذ و همچنین روش‌های مورد استفاده توسط هر کدام از آنها به شرح زیر است:

  • سیستم تشخیص نفوذ شبکه (NIDS[۴]): این سیستم در یک یا چند نقطه کلیدی در شبکه نصب می‌شود تا امکان نظارت بر روی ترافیک‌های ورودی و خروجی را در تمام تجهیزات شبکه داشته باشد.
  • سیستم تشخیص نفوذ مبتنی بر میزبان (HIDS[۵]): در این روش، HIDS بر روی همه رایانه‌ها یا تجهیزات شبکه که دسترسی مستقیم به اینترنت و شبکه داخلی سازمان دارند، نصب می‌شود. این سیستم قابلیت تشخیص بسته‌های ناهنجار شبکه که از درون سازمان ارسال می‌شوند یا ترافیک مخربی که NIDS توانایی تشخیص آن را نداشته باشد، دارد. همچنین HIDS معمولاً ترافیک آلوده‌ای که از سمت سیستم‌های میزبان ارسال می‌شود را هم تشخیص می‌دهد. برای مثال احتمال دارد که سیستم میزبان کاملاً ناخواسته به بدافزار آلوده شده و در تلاش برای آلوده کردن سایر سیستم‌ها باشد.
  • سیستم تشخیص نفوذ مبتنی بر امضا (SIDS[۶]): این سیستم بر روی همه بسته‌هایی که در شبکه عبور می‌کنند، نظارت داشته و آنها را با پایگاه داده‌ای متشکل از علائم و ویژگی‌های حملات و تهدیدات شناخته شده مقایسه می‌کند.
  • سیستم تشخیص نفوذ مبتنی بر ناهنجاری (AIDS[۷]): این سیستم‌ها عموماً از یادگیری ماشینی برای ایجاد یک خط مبنا و تعریف یک سیاست امنیتی مشخص استفاده می‌کنند. AIDS بر روی ترافیک شبکه، پهنای باند، پروتکل‌ها و پورت‌ها نظارت داشته و در صورت مشاهده هرگونه فعالیت مشکوک یا مغایرت با سیاست‌های امنیتی هشدارهای لازم را به کارشناسان مربوطه ارسال می‌کند. این سیستم بر اساس یک مدل گسترده‌تر، امکان شناسایی مخاطرات و تهدیدات امنیتی را داشته و محدودیت روش‌های مبتنی بر امضا را به ویژه در زمینه تشخیص تهدیدات جدید برطرف می‌کند.

سیستم‌های تشخیص نفوذ معمولاً به دو گروه فعال یا غیرفعال (منفعل) تقسیم می‌شوند. سیستم‌های تشخیص نفوذ منفعل در صورت شناسایی فعالیت مخرب فقط یک هشدار یا گزارش را ثبت نموده و دیگر هیچ‌ اقدام خاصی انجام نمی‌دهند. در حالی که سیستم‌های فعال (که با عنوان سیستم‌های تشخیص و جلوگیری از نفوذ هم شناخته می‌شوند) علاوه بر تولید لاگ و ثبت وقایع، قابلیت انجام کارهایی مثل مسدود کردن آدرس آی‌پی یا قطع دسترسی به منابع محدود شده را هم دارند.

انواع سیستم‌های تشخیص نفوذ

Snort را می‌توان از جمله پرکاربردترین سیستم‌های تشخیص نفوذ دانست. بعضی از ویژگی‌های آن عبارتند از:

  • رایگان بودن
  • متن‌باز و از نوع NIDS بودن
  • قابلیت شناسایی تهدیدات جدید
  • امکان نصب آن بر روی سیستم‌عامل‌های لینوکس یا یونیکس، علاوه بر سیستم‌عامل‌های ویندوزی.

 

امکانات سیستم‌های تشخیص نفوذ

سیستم‌های تشخیص نفوذ به صورت پیوسته و بدون وقفه ترافیک شبکه را بررسی و تحلیل نموده و در صورت مشاهده هر فعالیت غیرمجاز سریعاً آن را شناسایی و گزارش‌های لازم را به تیم‌های امنیتی صادر می‌کنند. برخی از ویژگی‌های سیستم‌های تشخیص نفوذ به شرح زیر هستند:

  • نظارت بر روی عملکرد مسیریاب‌ها، فایروال‌ها، سرورهای مدیریت کلید و فایل‌های مورد نیاز سایر کنترل‌های امنیتی با هدف تشخیص، جلوگیری یا بازیابی پس از وقوع حملات سایبری
  • فراهم کردن یک روش کاربردی جهت تنظیم، سازمان‌دهی و تشخیص لاگ‌های سیستم‌عامل و سایر لاگ‌هایی که پیگیری یا تحلیل آنها چندان کار آسانی نیست.
  • ایجاد یک رابط کاربرپسند به صورتی که کارمندان غیرمتخصص هم توانایی کار با آن را داشته باشند.
  • ایجاد یک پایگاه داده جامع که شامل علائم و نشانه‌های تهدیدات بوده و قابلیت تطبیق با سایر اطلاعات سیستم‌ را دارد.
  • شناسایی تغییرات ایجاد شده، ثبت گزارش و ارسال هشدارهای لازم به تیم‌های امنیتی
  • قابلیت واکنش به نفوذ، مسدود کردن فعالیت مهاجمان و همچنین مسدود کردن ارتباطات سرور در صورت تشخیص یک نفوذ امنیتی.

 

مزایای سیستم‌های تشخیص نفوذ

مهمترین مزیت سیستم‌های تشخیص نفوذ برای سازمان‌ها قابلیت شناسایی حوادث امنیتی است. بعضی از مهمترین مزایای سیستم‌های تشخیص نفوذ شامل موارد زیر هستند:

  • این سیستم‌ها قابلیت تحلیل نوع و تعداد حملات را دارند.
  • سازمان‌ها می‌توانند از اطلاعات ثبت شده توسط این سیستم‌ها در جهت تغییر سیستم‌های امنیتی یا پیاده‌سازی کنترل‌های کارآمدتر استفاده کنند.
  • سیستم‌های تشخیص نفوذ به سازمان‌ها کمک می‌کنند تا خطاها و مشکلات موجود در پیکربندی تجهیزات شبکه را شناسایی کرده و آنها را برطرف نمایند.
  • سازمان‌ها با استفاده از سیستم‌های تشخیص نفوذ می‌توانند عملکرد بهتر بر روی شبکه‌شان داشته باشند. در نتیجه پیروی از مقررات امنیتی و همسو ماندن با آنها برای سازمان‌ها راحت‌تر خواهد بود. همچنین کسب‌وکارها می‌توانند از لاگ‌های ایجاد شده توسط IDS به عنوان مدرک جهت اثبات پیروی از قوانین امنیتی استفاده کنند.
  • سیستم‌های تشخیص نفوذ می‌توانند به بهبود واکنش‌های امنیتی نیز کمک نمایند. حسگرهای IDS توانایی تشخیص تجهیزات و میزبان‌های شبکه را دارند. بنابراین می‌توانند به تیم‌های امنیتی در بررسی داده‌های موجود در بسته‌های شبکه و سیستم‌عامل سرویس‌های مورد استفاده و در نتیجه بهبود واکنش‌های امنیتی کمک کنند. استفاده از IDS برای جمع‌آوری این اطلاعات نسبت به بررسی دستی سیستم‌های متصل بسیار راحت‌تر است.

مزایای استفاده از سیستم‌های IDS

چالش‌های استفاده از سیستم تشخیص نفوذ

باید به این نکته توجه داشت که امکان تشخیص اشتباه توسط سیستم‌های تشخیص نفوذ هم وجود دارد. اگر این سیستم‌ها به درستی تنظیم و پیکربندی شوند قابلیت تشخیص تفاوت‌های موجود در بین ترافیک معمولی و مخرب را خواهند داشت. اگرچه تشخیص‌های کاذب هیچ آسیب جدی به شبکه وارد نکرده و حتی ممکن است منجر به پیکربندی بهتر در شبکه شوند ولی اگر IDS یک تهدید امنیتی را جزو ترافیک مجاز در نظر بگیرد و به آن مجوز ورود به شبکه را بدهد ممکن است مخاطرات جدی برای سازمان ایجاد شود.

در چنین شرایطی تیم‌های امنیتی معمولاً زمانی متوجه وقوع حادثه می‌شوند که کل شبکه سازمان تحت تأثیر حمله قرار گرفته است. بنابراین باید IDS را به گونه‌ای تنظیم کنید که نسبت به رفتارهای غیرعادی حساسیت بیشتری داشته باشد. در این صورت ایجاد تشخیص‌های مثبت کاذب بهتر است از نادیده گرفتن ترافیک‌های غیرمجاز.

بدافزارها همواره رو به رشد بوده و پیچیده‌تر می‌شوند. مهاجمان نیز تلاش می‌کنند تغییرات چشم‌گیری را در الگوهای رفتاری که توسط سیستم‌های تشخیص نفوذ شناسایی شده‌اند ایجاد نمایند. از این رو تشخیص آلودگی‌های منفی کاذب برای سیستم‌های IDS به ویژه سیستم‌هایی که از نوع SIDS هستند مشکل مهمی محسوب می‌شود. در نتیجه سازمان‌ها همواره به سیستم‌هایی نیاز دارند که قابلیت تشخیص رفتارهای مخرب و مقابله با تهدیدات جدید را داشته باشد.

 

[۱] Intrusion Detection System

[۲] Intrusion Prevention System

[۳] مسموم‌سازی نام دامنه یا جعل سیستم نام دامنه، یک نوع از روش‌های هک است.

[۴] Network Intrusion Detection System

[۵] Host Intrusion Detection System

[۶] Signature-based Intrusion Detection System

[۷] Anomaly-based Intrusion Detection System

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

14 − 4 =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.