سامانه های تشخیص نفوذ سبک (Lightweight IDS)

در . منتشر شده در مقالات آموزشی

تهاجم در واقع بالفعل كردن يك تهديد بالقوه با استفاده از يك حفره يا آسيب پذيري است. آسيب پذيري مي تواند مشكلات و حفره هاي سيستم ها يا برنامه هاي كاربردي ، عدم پيكربندي مناسب نرم افزارها و سخت افزارها و يا حتي خطاي انساني باشد.

تجربه ثابت مي­كند كه در يك تهاجم هوشمندانه و برنامه ريزي شده ، معمولا از بيش از يك نقطه آسيب پذيری استفاده مي شود. در واقع تركيبي از چند رخنه امنيتي براي نفوذ به سامانه ها به كار گرفته مي شود. سامانه هاي تشخيص نفوذ جزء ضروري و لاينفك شبكه هاي بزرگ به حساب مي آيند. چراكه محيا بودن سرويس هاي آنلاين، سرورها و ساير خدمات اساسي از اهميت بالايي برخوردار است. خاصه اينكه اين نوع شبكه ها جذابيت بيشتري براي مهاجمين داشته و اغوا كننده هستند. سامانه تشخيص نفوذ بعد از دیوار آتش به عنوان دومين سپر محافظ در شبكه ها به حساب آمده و كاربردي روز افزون پيدا كرده اند.

جهت بررسي عملكرد اين سامانه ها، نياز است تا نحوه و استراتژي يك نمونه حمله را تحليل و بررسی كنيم. يك سناريو تهاجم معمولي در گام هاي زير شكل گرفته و اجرا مي گردد:

  1. جمع­آوري اطلاعات : گام نخست شناسايي و جمع آوري اطلاعات هرچه بيشتر نسبت به هدف است. شناخت بيشتر منجر به افزايش احتمال موفقيت مي­گردد. در اين گام ابزارهاي پرس­و­جو مانند "Whois" و "NSlookup" و... براي كشف آدرس هاي دامنه ها و آي پي ها به كار مي رود.
  2. پويش و ارزيابي نقاط آسيب­پذير: به وسيله اسكن مي توان سرويس هاي فعال در ميزبان هاي شبكه هدف را شناسايي كرده و اطلاعات مرتبط با آنها را از قبيل نسخه هر كدام و پورت در حال سرويس­دهي را به دست آورد.
  3. به دست آوردن دسترسي هاي اوليه : اين امر با حملات R2L(Remote To Local) محقق مي گردد. نمونه بارز اين نوع حملات حمله حدس پسورد ، شنود ترافيك، سرريز بافر مي­باشد. حمله R2L بدين معناست كه كاربر غير مجازي اقدام به آوردن دسترسي و سپس اجراي فرامين اجرايي نمايد. اين دسته از حملات معمولا از حفره ها و رخنه هاي سيستم­هاي عامل و نرم افزارهاي كاربردي و ضعف پرتوكل هاي شبكه بهره مي جويند.
  4. ارتقاء سطح دسترسي و عملكرد : به وسيله حملات U2R (User To Root) سطح دسترسي مهاجم، به طور غير مجاز افزايش می­يابد. لذا مي تواند بازه عملكرد وسيع تر و آزاد تري داشته باشد. به طور رايج، مهاجم با استفاده از يك حساب كاربري منقضي شده و يا بي­استفاده، اقدام به ارتقاي سطح حساب كاربري به سطح ريشه (Root) و يا راهبر سيستم (Administrator) كرده و سپس كدهاي مخرب و يا فرامين خود را در آن سطح اجرا مي كند.
  5. اجراي سناريو از پيش طراحي شده حمله: با دزديدن، تخريب يا دستكاري اطلاعات محرمانه و با­ارزش و يا تغيير ظاهر يك وب سايت و يا نصب يكBackdoor براي اقدامات آتي، مهاجم كار خود را با موفقيت به فرجام مي رساند.

سامانه های تشخیص نفوذ به دو شکل تشخیص عمل می کنند:

  • تشخیص Misuse
  • تشخیص Anomaly

دسته اول را Signature – Based یا بر اساس الگوی از پیش تعریف شده نیز می نامند. روش عملکرد در این نوع IDS به این صورت است که ناهنجاری های به وجود آمده درترافیک شبکه توسط انواع حمله ها ، اعم از ویروس ها، کرم ها، تروجان ها و ... تبدیل به الگو می گردد. سپس IDS با مقایسه ترافیک جاری شبکه با بانک الگوهایی که در اختیار دارد، قادر است حملات مختلف را تشخیص داده و اقدامات مقتضی را انجام دهد. مشکل بزرگ و اساسی این نوع سامانه های تشخیص نفوذ، ضعف آنها نسبت به حملات جدید و کشف نشده است. چرا که هنوز الگویی نسبت به این حملات در اختیار آنها قرار نگرفته است تا با مقایسه آن با جریان ترافیک شبکه حمله را تشخیص دهند.

دسته دوم IDS ها ، تشخیص بر اساس Anomaly بر می گزینند. این سامانه ها، رفتار نرمال و معمولی ترافیک شبکه را مدل کرده و تبدیل به Profile برای آن شبکه میکنند. لذا در صورت بروز هر گونه ناهنجاری و رفتار غیر نرمال در جریان ترایک شبکه، تشخیص یک رخداد را محتمل می کند. در واقع هر عاملی که باعث انحراف جریان عملکرد شبکه از حالت نرمال (Normal Profile) گردد، به عنوان یک رفتار مشکوک تلقی می گردد.

مزیت اصلی این نوع سامانه های تشخیص نفوذ، توانایی شناسایی تهاجماتی است که از قبل کشف شده اند. در واقع نوعی هوشمندی در این سامانه به کار رفته که با عملکرد فوق الذکر، توانایی شناسایی و کشف حملات جدی را دارا می باشند. به طور مثال تغییر رفتار ناگهانی یک کاربر به بوجود امدن یک هشدار (Alarm) می گردد.

از جنبه های دیگر می توان سامانه تشخیص نفوذ را از نقطه نظر حوزه دفاعی آنها نیز دسته بندی کرده که از لحاظ دامنه تدافعی، IDS ها به دو دسته کلی تقسیم می شوند.

  • Host Based
  • Network Based

Host-based IDS: این نوع سامانه بر روی میزبان نصب و پیکربندی می گردند و عملکرد مستقلی دارند. وظیفه این IDS ها، تنها محافظت همان رایانه میزبان مبی باشند. سامانه های تشخیص نفوذ میزبان محور، با پایش مستمر Device میزبان که در اینجا یک رایانه فرض می شود، رفتارها، گزارشات ثبت شده (Audit Log) و ... آن را بررسی و مرور کرده و رفتارهای مشکوک را کشف می کنند.

Network-Based IDS: این نوع سامانه ها، معمولا بعد از دیوار آتش(Firewall) در شبکه ها، به عنوان سپر تدافعی ثانویه نصب می گردند. وظیفه اصلی این سامانه ها محافظت شبکه محلی از تهاجمات بوده، و میزبان های متعددی درون شبکه را رصد می کنند.

در مقام قیاس Host-Based IDS ها برای تشخیص حملات R2L و U2R نیازمند نصب در تک تک میزبان ها می باشد که این امر مستلزم پشتیبانی و هزینه بالا می باشد. همچنین جمع آوری گزارشات به علت عدم وجود مدیریت متمرکز (Centralized Solution) کاری دشوار می باشد.

در سامانه تشخیص نفوذ Network-Based ، مشکل مدیریت متمرکز رفع گردیده و این امر مزایای زیادی را به همراه داشته است. این سامانه با تحلیل ترافیک شبکه در نقاط مختلف و جمع اوری گزارشات و رخدادها، توان تشخیص و کشف حملت متعددی از جمله، Backdoor, Denial Of Service , Worm , Remote Procedure , Call Abuse , Port Scan & Probe , CGI Abuse , Logging Abuse , FTP Attacks و ... را دارا می باشند.

اما در عین حال، حجم محاسبات بالا و زمان بر، تشخیص ناصحیح (False Positive) را می توان جزء معایب این سامانه ها بر شمرد. به خصوص در صورت افزایش حجم ترافیک شبکه این معایب بیشتر بروز می کنند. در واقع نسبت افزایش حجم ترافیک شبکه به حجم محاسبات، به طور غیر خطی افزایش دارد.

جهت رفع این مشکل و کاهش حجم محاسبات، سامانه های تشخیص نفوذ سبک Light Weight IDS پیشنهاد شدند. این سامانه با بکارگیری روشهای تشخیصی خاص، عملکرد مطلوبتر و بهینه­تری را ارایه نمودند. حجم محاسبات Light Weight IDSها کاهش چشم گیری داشته، در عین حفظ عملکرد کیفی. در این سامانه ها به جای بررسی و پردازش تمامی بسته های انتقالی، یک فیلتر مفید و کارا پیشنهاد می گردد که در بعضی از موارد فقط 0.3% از جریان ترافیک شبکه بررسی می گردد.

دانلود ادامه مطلب

با ما به‌روز باشید!

 با ما به‌روز باشید!
it@raja.ac.ir

آدرس:تهران - بلوار کریمخان - آبان جنوبی - شماره 41

تلفن:88918136,63-021