منظور از آنالیز حالت دسته‌ای این است که اطلاعات مربوط به یک دوره زمانی جمع آوری می‌شوند و سپس به آنالیزگر داده می‌شوند. استفاده از این نوع زمانبندی در سیستم‌های قدیمی استفاده می‌شده است. به علت اینکه پهنای باند ارتباطی و قدرت پردازشی در سیستم‌های قدیمی به حدی نبوده است که سیستم ها بتوانند به صورت بلادرنگ عمل کنند.
بلادرنگ
با بالا رفتن قدرت پردازشی و همچنین افزایش پهنای باند ارتباطی، اکثر سیستم‌های جدید از این روش استفاده می‌کنند. در این روش با هر رویدادی که رخ می‌دهد و یا در هر فاصله زمانی کوتاه، منبع اطلاعات به آنالیزگر داده می‌شود.

۲-۱-۶ روش های پاسخ

فاکتور دیگری که در سیستم‌های تشخیص نفوذ مطرح است، نحوه عملی است که تشخیص دهنده به آن طریق واکنش نشان می‌دهد. سیستم‌های تشخیص نفوذ به دو روش کلی در مقابل رخدادها عمل می‌کنند. این دو روش عبارتند از : جوابگویی[۴۲] و پاسخ فعال[۴۳] .
جوابگویی
شیوه واکنشی که برای یک سیستم تشخیص نفوذ در نظر گرفته می‌شود باعث ایجاد طرح‌ها و پیاده سازی‌های متفاوتی در رابطه با مسئول خرابی است. استفاده از این روش یکی از مسائل قابل بحث در زمینه تشخیص نفوذ می‌باشد.

(( اینجا فقط تکه ای از متن درج شده است. برای خرید متن کامل فایل پایان نامه با فرمت ورد می توانید به سایت feko.ir مراجعه نمایید و کلمه کلیدی مورد نظرتان را جستجو نمایید. ))

پاسخ فعال
در سیستم‌های تشخیص نفوذ، پاسخ فعال وقتی صورت می‌گیرد که نتیجه آنالیزها یک نتیجه قابل اجرا باشد رایج ترین نوع پاسخ فعال ذخیره اطلاعات در یک فایل لاگ و تهیه گزارش از آنها می‌باشد. این داده‌ها برای افراد مختلف به صورت‌های متفاوت می تواند قابل استفاده باشد. یکی دیگر از جواب‌هایی که می‌تواند صورت گیرد، تغییر وضعیت سیستمی است که مورد حمله قرار گرفته است. علاوه بر این دو مورد، جواب‌های فعال دیگری نیز وجود دارد نظیر بلاک کردن حمله کننده، تغییر پیکربندی دیواره آتش و …

۲-۱-۷ کنترل سیستم

یکی دیگر از مسائل مطرح در رابطه با سیستم‌های تشخیص نفوذ، مساله کنترل سیستم است. برای انجام این کار سه روش عمده مورد استفاده قرار می‌گیرد [۹]:
مرکزی
در این مدل سیستم مدیریت و تولید گزارش به صورت مرکزی می‌باشد. در این روش یک سیستم مدیریت مرکزی، سیستم تشخیص نفوذ را کنترل می‌کند. استفاده از این روش پیش نیازهایی دارد، برای مثال تبادل اطلاعات بین مرکز و سایر بخش‌ها باید به صورت امن انجام شود. علاوه بر این مورد باید راهی وجود داشته باشد که مشخص شود در هر لحظه چه بخشی از سیستم در حال فعالیت و چه بخشی از حرکت ایستاده است. مساله دیگر در رابطه با مدل مرکزی، ارسال شرایط نهایی به صورت مفهوم به کاربران نهایی می‌باشد.
استفاده از امکانات مدیریت شبکه
برای رفع مشکلاتی که روش مرکزی دارد می‌توان عمل تشخیص نفوذ را به عنوان تابعی از سیستم مدیریت شبکه درآورد. در این روش اطلاعات جمع آوری شده توسط سیستم‌های مدیریت شبکه می‌توانند به عنوان یک منبع اطلاعات برای سیستم‌های تشخیص نفوذ مورد استفاده قرار گیرند.
توزیع شده
راه دیگری که برای رفع مشکل حالت مرکزی وجود دارد استفاده از مدل توزیع شده می‌باشد. در این حالت آنالیزگر به صورت مرکزی نمی‌باشد. روشی که در این مدل می‌توان استفاده کرد استفاده از عامل های متحرک است. در این حالت آنالیزگر در سطح شبکه حرکت می‌کند و نتایج جمع آوری شده بر روی سیستم های مختلف را مورد آنالیز قرار می‌دهد.

۲-۱-۸ منابع اطلاعات

اولین نیاز برای هر سیستم تشخیص نفوذ فراهم کردن داده‌های ورودی است. این داده ها به روش‌های مختلف از منابع گوناگونی فراهم می‌شوند. در سیستم‌های تشخیص نفوذ، منابع از نظر پراکندگی به دو دسته کلی تقسیم می‌شوند که بر اساس آن، دو دسته سیستم تشخیص نفوذ به وجود می‌آید: سیستم تشخیص نفوذ مبتنی بر میزبان و سیستم تشخیص نفوذ مبتنی بر شبکه. در ادامه این بخش هر یک از دسته‌ ها شرح داده می‌شود[۹] :

منابع اطلاعات سیستم مبتنی بر میزبان

در این دسته از سیستم‌های تشخیص نفوذ، اطلاعات توسط مشخصات و داده‌های سیستم عامل و یا برنامه‌های کاربردی فراهم می‌شوند:

۱- دنباله بازرسی سیستم عامل

اولین منبع اطلاعات که سیستم‌های تشخیص نفوذ از آنها استفاده می‌کند، دنباله‌های بازرسی سیستم عامل می‌باشند. دنباله بازرسی توسط بخشی به نام بخش بازرسی که زیر مجموعه سیستم عامل است تهیه می‌شود. دنباله بازرسی[۴۴] دربرگیرنده اطلاعاتی درباره فعالیت های سیستم می‌باشد. این اطلاعات بر حسب زمان مرتب شده اند و در یک یا چند فایل به نام فایل بازرسی ذخیره می‌شوند. هر فایل بازرسی متشکل از مجموعه‌ای از رکوردهای بازرسی است که هر یک بیانگر یک رویداد در سیستم هستند. این رکوردها توسط فعالیت‌های کاربر و یا فرآیندها ایجاد می‌شوند.
تولیدکنندگان سیستم‌های عامل در طراحی دنباله‌های بازرسی، دو مطلب‌ را مورد توجه قرار داد ه‌اند: اول اینکه، رکوردهای موجود در دنباله‌ها به صورت خودمحتوا باشند تا احتیاجی به رکورد دیگری برای تفسیر آن نباشد و دیگر اینکه اطلاعات اضافی از دنباله‌ها حذف شوند، به این معنی که برای یک رویداد اطلاعات در رکوردهای مختلف ذخیره نشود.
با اینکه دنباله‌های بازرسی به عنوان مهمترین منبع اطلاعات سیستم‌های تشخیص ن
فوذ مورد استفاده قرار می‌گیرند، اما تحقیقات نشان داده است که این دنباله‌ها ممکن است دربرگیرنده اطلاعات مهمی که مورد استفاده سیستم های تشخیص نفوذ قرار بگیرد نباشند، همچنین شفافیت موجود در دنباله‌ها کم است. اما با وجود این مشکلات، بسیاری از سیستم‌های تشخیص نفوذ از این دنباله‌ها استفاده می‌کنند. مهمترین دلیل این سیستم ها، امنیت دنباله ها و حفاظتی است که توسط سیستم عامل بر روی آنها انجام می‌شود و دیگر اینکه این دنبال کننده‌ها آشکارکننده‌های خوبی برای رویدادهای سیستم هستند.
دنباله‌های بازرسی در هر دو سطح هسته [۴۵] و کاربر ذخیره می‌شوند. دنباله‌های لایه هسته شامل آرگومان‌های System call ها و مقادیر بازگشتی آنها می‌باشند و دنباله‌های لایه کاربر مشخص کننده توضیح سطح بالاتر از رویدادها و برنامه‌های کاربردی می‌باشند.

۲- لاگ‌های سیستم

لاگ‌های سیستم فایل‌هایی هستند که مشخص کننده رویدادهای سیستم و تنظیمات مختلف سیستم می‌باشند. این لاگ‌ها در مقایسه با دنباله‌های بازرسی که توسط هسته تولید می‌شوند از نظر امنیت در سطح پایین‌تری قرار دارند. این ضعف به چند علت می‌باشد: اول اینکه برنامه تولیدکننده لاگ سیستم، یک برنامه سطح کاربر است که در مقایسه با سیستم عامل از امنیت کمتری برخوردار است. علاوه بر این، اطلاعات تولید شده توسط برنامه تولید کننده لاگ توسط سیستم فایل نگهداری می‌شود که باز در مقایسه با دنباله‌های بازرسی از امنیت کمتری برخوردار هستند و نهایتا ً اینکه لاگ های تهیه شده توسط تولید کننده لاگ به صورت متن می‌باشند در حالیکه اطلاعات دنباله‌های بازرسی به صورت رمز شده ذخیره می‌شوند. با وجود تمام این ضعف‌ها، به علت سادگی استفاده از این لاگ ها، بسیاری از سیستم‌های تشخیص نفوذ از آنها استفاده می‌کنند و در مواردی که استفاده از دنباله‌های بازرسی کار ساده‌ای نباشد، می‌توان از وجود لاگ به عنوان منبع اطلاعات سود جست .

۳- اطلاعات برنامه های کاربردی

در دو منبع قبل اطلاعات تولید شده در سطح سیستم بودند. اما غالباً فعالیت های سیستم در مقایسه با برنامه‌های کاربردی از امنیت بیشتری برخوردار هستند، به همین جهت لازم است برای برنامه‌های کاربردی نیز بتوان اطلاعاتی را بدست آورد. اطلاعات تولید شده توسط برنامه‌های کاربردی، یکی دیگر از منابع اطلاعاتی است که مورد استفاده سیستم های تشخیص نفوذ قرار می‌گیرند.
برای مثال از منابع اطلاعاتی که توسط برنامه‌کاربردی تولید می‌شود، می توان به اطلاعات تولید شده توسط بانک‌های اطلاعاتی اشاره کرد. در بسیاری از سازمان‌ها، بانک‌های اطلاعاتی از مهمترین منابعی است که مورد حمله قرار می‌گیرند، بنابراین اطلاعات تولید شده توسط آنها بسیار حائز اهمیت می‌باشد. مثال دیگری که از اطلاعات تولید شده توسط برنامه کاربردی می‌توان یاد کردوب سرورها هستند ، اکثر وب سرورها مکانیزم تولید لاگ‌ای دارند که مشخص کننده مراجعات انجام شده به سایت مربوطه می‌باشد.

۴- بازبینی مبتنی بر هدف

روش بازبینی مبتنی بر هدف حالت خاصی از بازبینی مبتنی بر میزبان است. در این حالت، فرض این است که در صورتیکه دنباله‌های سطح هسته وجود نداشته باشند، باید بتوان لاگ‌هایی را تولید کرد و از آنها استفاده کرد. برای انجام این کار باید در ابتدا چگونگی تعریف و پیاده سازی لاگها را مشخص کرد. برای این کار، اشیاء قابل توجه در سیستم مشخص و سپس با یک مکانیزم بازبینی اطلاعاتی در مورد آن اشیاء تولید می‌شود . این اطلاعات برای مثال می‌تواند نشان دهنده‌ی یکپارچگی شئ و یا کد CRC آن باشد. بدین ترتیب هر تغییری که در اطلاعات تهیه شده از اشیاء مورد نظر انجام شود، رویداد مربوطه ذخیره و نگهداری می‌شود.

۲-۱-۸-۱ منابع اطلاعات سیستم مبتنی بر شبکه

ترافیک شبکه یکی از رایج ترین منابع اطلاعات برای سیستم های تشخیص نفوذ می‌باشد. در این حالت داده‌ها از ترافیک شبکه جمع آوری و مورد آنالیز قرار می‌گیرند.
اطلاعات بدست آمده از ترافیک شبکه از جنبه‌های مختلف دارای اهمیت می‌باشد. یکی از علت ها، نرخ ورود بسته‌ها می‌باشد. در اکثر موارد، نرخ ورود بسته‌ها به اندازه‌ای نیست که دریافت آنها در کارائی سیستم مشکلی ایجاد کند. یکی دیگر از مزایای استفاده از اطلاعات شبکه این است که دریافت اطلاعات از دید کاربر مخفی می‌باشد. علاوه بر این موارد، با بررسی اطلاعات شبکه می توان حملاتی را تشخیص داد که با بررسی اطلاعات سیستم عامل و یا برنامه کاربردی قابل تشخیص نبوده است.
در سیستم‌های تشخیص نفوذ که از ترافیک شبکه به عنوان منبع اطلاعات استفاده می‌کنند، بسته‌های عبوری بر روی شبکه توسط کارت شبکه دریافت می‌شوند . این کار با قرار دادن کارت شبکه در حالت بی قاعده انجام می‌شود. با این کار، علاوه بر دریافت بسته‌های مربوط به آن سیستم، سایر بسته‌ها نیز توسط کارت دریافت می‌شود. برای دریافت بسته‌ها از روی شبکه، امکانات خاصی فراهم شده است. به عنوان نمونه می توان کتابخانه libpcap را نام برد. بسیاری از سیستم‌های تشخیص نفوذ از این کتابخانه برای دریافت بسته‌ها استفاده می‌کنند.

۲-۱-۹ آنالیز و تکنیک های تشخیص نفوذ

کار اصلی سیستم‌های تشخیص نفوذ، آنالیز داده‌ها می‌باشد. فرایند آنالیز را می‌توان به سه فاز مختلف تقسیم کرد[۹]:
۱. ساختن موت
ور آنالیزکننده
۲. آنالیز کردن داده‌ها
۳. بازگشت و اصلاح
هر کدام از دو فاز اول، خود از سه مرحله تشکیل شده اند که عبارتند از پیش پردازش داده‌ها، کلاس‌بندی داده‌ها و پردازش نهایی
ساختن موتور آنالیز کننده
اولین فاز آنالیز، ساختن موتور آنالیز است. در این فاز سه عمل پیش پردازش داده‌ها، کلاس‌بندی داده‌ها و پردازش نهایی صورت می‌گیرد. برای انجام این کارها مراحل زیر انجام می شود:
۱. در ابتدا داده‌هایی به عنوان نمونه جمع آوری می‌شوند. در حالت تشخیص سوء استفاده این اطلاعات عبارتند از مشخصات حملات، نقاط آسیب پذیر، نفوذها و … و برای حالت تشخیص ناهنجاری این اطلاعات عبارتند از رفتار سیستم در حالت عادی.
۲. مرحله بعد از جمع آوری داده‌ها، انجام پیش پردازش بر روی آنها می‌باشد تا بتوان آنها را به فرمی که قابل استفاده باشد تبدیل کرد.

موضوعات: بدون موضوع  لینک ثابت