خوانده شده 4 دقیقه ارسال شده در
سیستم تشخیص نفوذ (IDS) برای تشخیص ترافیک شبکه مخرب و سو mis استفاده از
بنابراین ، IDS حملات شبکه را به سرویس ها و برنامه های آسیب پذیر ، حمله به میزبان ها مانند افزایش امتیاز ، ورود غیر مجاز و دسترسی به اسناد محرمانه و آلودگی به بدافزار (Trojans ، ویروس ها ، [19659007] تفاوت کلیدی بین سیستم پیشگیری از نفوذ (IPS) و IDS این است که در حالی که IDS فقط منفعلانه سلامت شبکه را رصد و گزارش می کند ، IPS با سرکوب فعالانه فعالیت های مخرب از این هم فراتر می رود.
این آموزش انواع مختلف IDS ، اجزای آنها را پوشش می دهد. و انواع روشهای تشخیصی مورد استفاده در IDS.
مروری تاریخی بر روی IDS [19659010] جیمز اندرسون ایده نظارت بر نفوذ یا سو system استفاده از سیستم را با نظارت بر الگوهای استفاده غیرعادی از شبکه یا سو system استفاده از سیستم ارائه داد. در سال 1980 ، بر اساس این گزارش ، وی کار خود را تحت عنوان نظارت و نظارت بر تهدیدات امنیت رایانه منتشر کرد. در سال 1984 ، سیستم جدیدی به نام "سیستم تخصصی تشخیص نفوذ (IDES)" راه اندازی شد. این اولین نمونه اولیه IDS بود که فعالیت کاربران را ردیابی می کرد.
در سال 1988 ، IDS دیگری به نام "Haystack" معرفی شد که از الگوها و تجزیه و تحلیل آماری برای تشخیص فعالیت غیر طبیعی استفاده می کرد.
این IDS عملکرد تجزیه و تحلیل ندارد
با همان الگو ، آزمایشگاه لارنس لیورمور در UC دیویس IDS جدیدی را تحت عنوان "Network System Monitor (NSM)" برای تجزیه و تحلیل ترافیک شبکه
معرفی کرد. این پروژه بعداً به IDS تبدیل شد به نام "سیستم تشخیص نفوذ توزیع شده (DIDS)".
بر اساس DIDS ، سیستم "Stalker" توسعه یافت ، که اولین IDS تجاری در دسترس بود.
در دهه 1990 ، SAIC میزبان IDS را با نام "سیستم تشخیص سوuse استفاده رایانه ای (CMDS)" توسعه داد.
سیستم دیگری به نام "اندازه گیری حادثه امنیتی خودکار (ASIM)" توسط مرکز کمک رمزنگاری نیروی هوایی ایالات متحده برای اندازه گیری فعالیت غیر مجاز و شناسایی رویدادهای غیرمعمول شبکه.
در سال 1998 ، مارتین روش IDS منبع باز به نام "SNORT" را منتشر کرد که متعاقباً محبوبیت زیادی پیدا کرد.
انواع IDS
بر اساس لایه تجزیه و تحلیل ، دو نوع اصلی IDS وجود دارد:
- IDS مبتنی بر شبکه (NIDS): برای تشخیص فعالیت شبکه طراحی شده است که به طور معمول توسط فایروال ساده قابل شناسایی نیست قوانین فیلتر کردن. در NIDS ، بسته های جداگانه ای که از طریق شبکه عبور می کنند کنترل و تجزیه و تحلیل می شوند تا فعالیت مخربی را که در شبکه رخ می دهد ، شناسایی کنند. "SNORT" مثالی از NIDS
- Host based IDS (HIDS) است: فعالیت را روی یک میزبان یا سرور منفرد که IDS نصب کرده است ردیابی می کند. این اقدامات می تواند تلاش برای ورود به سیستم ، بررسی یکپارچگی پرونده ها در سیستم ، ردیابی و تجزیه و تحلیل تماس های سیستم ، گزارش برنامه ها و غیره باشد. 19659022] سنسورها: آنها ترافیک شبکه یا فعالیت شبکه را تجزیه و تحلیل می کنند و رویدادهای امنیتی ایجاد می کنند
- کنسول: هدف آن نظارت بر حوادث ، هشدار و مدیریت حسگرها است
- مکانیسم تشخیص: وقایع ایجاد شده توسط سنسور توسط موتور ثبت می شود. آنها در پایگاه داده نوشته شده اند. آنها همچنین خط مشی هایی برای تولید هشدارها بر اساس وقایع امنیتی دارند.
روش های کشف برای IDS
به طور کلی ، روش های مورد استفاده در IDS را می توان به صورت زیر طبقه بندی کرد:
امضا / کشف مبتنی بر الگو: ما از موارد شناخته شده استفاده می کنیم حملاتی را به نام "امضا" ایجاد می کند و آنها را با محتوای بسته های شبکه مطابقت می دهد تا حملات را تشخیص دهد. این امضاهای ذخیره شده در پایگاه داده بیانگر روشهای حمله مورد استفاده مهاجمان در گذشته است
تشخیص نفوذ: در اینجا IDS برای تشخیص نقض دسترسی با استفاده از لیست کنترل دسترسی (ACL) پیکربندی شده است. ACL شامل خط مشی های کنترل دسترسی است و از آدرس IP کاربران برای تأیید درخواست آنها استفاده می کند. این مدل سپس به عنوان یک مدل پایه عمل می کند که ترافیک ورودی شبکه با آن مقایسه می شود. اگر ترافیک از رفتار عادی خارج شود ، هشدارهایی ایجاد می شود.
Protocol Anomaly Detection: در این حالت ، Anomaly Detector ترافیکی را که مطابق با استانداردهای پروتکل موجود نیست را تشخیص می دهد.
نتیجه گیری
اخیراً ، فعالیت تجاری در اینترنت
طبیعی است که شرکتها به اهداف شیطانی هکرها تبدیل شوند.
بنابراین ، حفاظت از سیستم های اطلاعاتی و شبکه ها بسیار مهم شده است وظیفه. در
این مورد ، IDS به یکی از عناصر حیاتی شبکه سازمان تبدیل شده است که نقش بسزایی در شناسایی دسترسی غیرمجاز به این سیستم ها دارد.