ttrasn
05-01-2012, 10:06 AM
هدف از تشخیص نفوذ بررسی و ارائه گزارش از فعالیت های شبکه است . این سیستم روی بسته های داده که از ابزار کنترول دسترسی عبور کرده اند عمل میکند . به دلیل وجود محدویت های اطمینان پذیری تهدید های داخلی و وجود شک و تردید مورد نیاز پیش گیری از نفوز باید به بعضی از موارد مشک.ک به حمله اجازه عبور میدهد تا احتمال تشخیص های غلط positive false کاهش یابد . از طرف دیگر روش ها IDS با هوشمندی همراه هستند و از تکنیک های مختلفی برای تشخیص حملات بالقوه نفوز ها و سو استفاده بهره میگیرد یک IDS معمولا به گونه ای از پهنای باند استفاده میکند که میتواند بدون تاثیر گذاشتن روی معماری محاسباتی و شبکه های به کار خود ادامه دهد طبیعت منفعل IDS ان چیزی است که قدرت هدایت تحلیل هوشمند جریان بسته های را ایجاد میکند همین امر IDS را در جایگاه خوبی برای تشخیص موارد زیر قرار میدهد :
حملات شناخته شده از طریق امظا ها و قوانین
تغییرات در حجم و جهت ترافیک با ایتفاده از قواین پچیدده و تحلیل اماری
تغییرات الگوی ترافیک ارتباطی با اتفاده از تحلیل جریان
تشخیص فعالیت های غیر عادی با استفاده از تحلیل انحراف معیار
تشخیص فعالیت مشکوک با استفاده از تکنیک های اماری تحلیل جریان و تشخیص خلاف قاعده
بعضی از حملات تا در درجه ای از یقین بسختی قابل تشخیص هستند و بیشتر انها میتوانند توسط روش های که دارای طبیعت غیر قطغی هستند تشخیص داداه شوند . یعین این روش برای تصمیم گیری مسدود سازی بر اساس سیاست مناسب نیستند
پیش گیری از نفوذ
چنانچه قبلا ذکر کردیم روش های پیش از نفوز به منظور محافظت از دارایی ها منابع ، داداه و شبکه ها استفاده میشود انتظار اصلی از انها این است که خطر حمله را با حذف ترافیک مضر شبکه کاهش دهند در حالیکه به فعالیت صحیح اجازه ادامه کار میدهد هدف نهایی یک سیستم کامل است یعنی نه تشخیص غلط حمله که از بازدهی شبکه میکاهد و نه عدم تشخیص حمله FALSE NEGATIVE که باعث ریسک بیمورد در محیط شبکه شود .
شاید یک نقش اساسی تر نیاز به مطمئن بودن است یعنی فعالیت به روش مورد نیاز تحت هر شرایطی به منظور حصول این منظور به روش های ISP باید طبیعت قطعی DETERMINISTIC داشته باشند
قابلیت های قطعی اطمینان مورد نیاز برای تصمیم گیری های سخت افزاری را ایجاد کند به این معنی که روش های پیش گیری از نفوز برای سروکار داشتن با موارد زیر ایده ال هستند :
برنامه های نا خواسته و حملات اسب تروای فعال علیه شبکه ها و برنامه های اختصاصی با استفاده از از قوانین قطعی و لیست های کنترول دسترسی
بسته ای دیتای متعلق به حمله با استفاده از فیلترهای بسته های داده ای سرعت بالا
سو استفاده از پروتکل های و دستکاری پروتکل های شبکه با استفاده از بازسازی هوشمند
حملات DOS و DDOS مانند ظغیان ICMP /SYN با استفاده از الگوریتم های فلترینگ بر پایه حد استانه
سو ایتفاده از برنامه های و دستکاری های پروتکل – حملات شناخته شده و شناخته نشده علیه SMTP / DNS / FTP / HTTP و غیره با استفده از قواین پروتکل برنامه و امظا ها
بار اظافی برنامه با استفاده از ایجاد محدویت های مصرف منابع
تمام این حملات و وضعیت های و اسیب پذیری اکه به انها اجازه وقوع مبدهد به خوبی مستند سازی اند و به علاوه انحراف از پروتکل های ارتباطی از لایه های شبکه تا لایه برنامه جایگاهی در هیچ ترافیک صحیح ندارد
نتیجه نهایی
تفاوت های بین IDS , IPS به فلسفه جبرگرایی می انجامد یعنی IDS میتواند از روش های غیر منظقی برای استنباط هر نوع تهدید یا تهدید بالقوه از ترافیک موجود استفاده کند . این شامل انجام تحیلی های اماری از حجم ترافیک الگوهای ترافیک و فعالیت های غیر عادی میشود IDS به درد افرادی میخورد که واقعا میخواهند بدانند چه چیزی در شبکه شان در حال رخ دادان است
از طرف دیگر IPS باید در تمام تصمیمات برای انجام وظیفه اش در پالاش ترافیک قطعیت داشته باشد از یک ابزار IPS انتظار میرود که در تمام مدت کار کند و در مورد کنترول دسترسی تصمیم گیری کند . فایروال ها اولین رویکرد قطعی را برای کنترول دسترسی درشبکه ها با ایجاد قابلیت اولیه IPS فراهم میکنند . ابزارهای IPS قابلیت نسل بعد را به این فایروال ها اظافه کردند و هنوز در این فعالیت های قطعی در تصمیم گیری برای کنترول دسترسی مشارکت دارند .
حملات شناخته شده از طریق امظا ها و قوانین
تغییرات در حجم و جهت ترافیک با ایتفاده از قواین پچیدده و تحلیل اماری
تغییرات الگوی ترافیک ارتباطی با اتفاده از تحلیل جریان
تشخیص فعالیت های غیر عادی با استفاده از تحلیل انحراف معیار
تشخیص فعالیت مشکوک با استفاده از تکنیک های اماری تحلیل جریان و تشخیص خلاف قاعده
بعضی از حملات تا در درجه ای از یقین بسختی قابل تشخیص هستند و بیشتر انها میتوانند توسط روش های که دارای طبیعت غیر قطغی هستند تشخیص داداه شوند . یعین این روش برای تصمیم گیری مسدود سازی بر اساس سیاست مناسب نیستند
پیش گیری از نفوذ
چنانچه قبلا ذکر کردیم روش های پیش از نفوز به منظور محافظت از دارایی ها منابع ، داداه و شبکه ها استفاده میشود انتظار اصلی از انها این است که خطر حمله را با حذف ترافیک مضر شبکه کاهش دهند در حالیکه به فعالیت صحیح اجازه ادامه کار میدهد هدف نهایی یک سیستم کامل است یعنی نه تشخیص غلط حمله که از بازدهی شبکه میکاهد و نه عدم تشخیص حمله FALSE NEGATIVE که باعث ریسک بیمورد در محیط شبکه شود .
شاید یک نقش اساسی تر نیاز به مطمئن بودن است یعنی فعالیت به روش مورد نیاز تحت هر شرایطی به منظور حصول این منظور به روش های ISP باید طبیعت قطعی DETERMINISTIC داشته باشند
قابلیت های قطعی اطمینان مورد نیاز برای تصمیم گیری های سخت افزاری را ایجاد کند به این معنی که روش های پیش گیری از نفوز برای سروکار داشتن با موارد زیر ایده ال هستند :
برنامه های نا خواسته و حملات اسب تروای فعال علیه شبکه ها و برنامه های اختصاصی با استفاده از از قوانین قطعی و لیست های کنترول دسترسی
بسته ای دیتای متعلق به حمله با استفاده از فیلترهای بسته های داده ای سرعت بالا
سو استفاده از پروتکل های و دستکاری پروتکل های شبکه با استفاده از بازسازی هوشمند
حملات DOS و DDOS مانند ظغیان ICMP /SYN با استفاده از الگوریتم های فلترینگ بر پایه حد استانه
سو ایتفاده از برنامه های و دستکاری های پروتکل – حملات شناخته شده و شناخته نشده علیه SMTP / DNS / FTP / HTTP و غیره با استفده از قواین پروتکل برنامه و امظا ها
بار اظافی برنامه با استفاده از ایجاد محدویت های مصرف منابع
تمام این حملات و وضعیت های و اسیب پذیری اکه به انها اجازه وقوع مبدهد به خوبی مستند سازی اند و به علاوه انحراف از پروتکل های ارتباطی از لایه های شبکه تا لایه برنامه جایگاهی در هیچ ترافیک صحیح ندارد
نتیجه نهایی
تفاوت های بین IDS , IPS به فلسفه جبرگرایی می انجامد یعنی IDS میتواند از روش های غیر منظقی برای استنباط هر نوع تهدید یا تهدید بالقوه از ترافیک موجود استفاده کند . این شامل انجام تحیلی های اماری از حجم ترافیک الگوهای ترافیک و فعالیت های غیر عادی میشود IDS به درد افرادی میخورد که واقعا میخواهند بدانند چه چیزی در شبکه شان در حال رخ دادان است
از طرف دیگر IPS باید در تمام تصمیمات برای انجام وظیفه اش در پالاش ترافیک قطعیت داشته باشد از یک ابزار IPS انتظار میرود که در تمام مدت کار کند و در مورد کنترول دسترسی تصمیم گیری کند . فایروال ها اولین رویکرد قطعی را برای کنترول دسترسی درشبکه ها با ایجاد قابلیت اولیه IPS فراهم میکنند . ابزارهای IPS قابلیت نسل بعد را به این فایروال ها اظافه کردند و هنوز در این فعالیت های قطعی در تصمیم گیری برای کنترول دسترسی مشارکت دارند .