برای مشاهده مفیدترین ارسال در این موضوع اینجا کلیک کنید

نمایش نتایج: از شماره 1 تا 2 از مجموع 2
  1. #1
    عضو تازه وارد
    تاریخ عضویت
    2013 February
    ارسال ها
    2
    تشکر
    0
    تشکر شده 5 بار در 2 پست


    2 امتياز مثبت از 2 راي
    آيا اين پست براي شما سودمند بود؟ بله | خیر

    new سامانه های تشخیص نفوذ سبک ( Lightweight IDS)

    سامانه های تشخیص نفوذ سبک ( Lightweight IDS)

    تهاجم در واقع بالفعل كردن يك تهديد بالقوه با استفاده از يك حفره يا آسيب پذيري است. آسيب پذيري مي تواند مشكلات و حفره هاي سيستم ها يا برنامه هاي كاربردي ، عدم پيكربندي مناسب نرم افزارها و سخت افزارها و يا حتي خطاي انساني باشد. تجربه ثابت مي كند كه در يك تهاجم هوشمندانه و برنامه ريزي شده ، معمولا از بيش از يك نقطه آسيب پذيری استفاده مي شود. در واقع تركيبي از چند رخنه امنيتي براي نفوذ به سامانه ها به كار گرفته مي شود. سامانه هاي تشخيص نفوذ جزء ضروري و لاينفك شبكه هاي بزرگ به حساب مي آيند. چراكه محيا بودن سرويس هاي آنلاين، سرورها و ساير خدمات اساسي از اهميت بالايي برخوردار است. خاصه اينكه اين نوع شبكه ها جذابيت بيشتري براي مهاجمين داشته و اغوا كننده هستند. سامانه تشخيص نفوذ بعد از دیوار آتش به عنوان دومين سپر محافظ در شبكه ها به حساب آمده و كاربردي روز افزون پيدا كرده اند. جهت بررسي عملكرد اين سامانه ها، نياز است تا نحوه و استراتژي يك نمونه حمله را تحليل و بررسی كنيم. يك سناريو تهاجم معمولي در گام هاي زير شكل گرفته و اجرا مي گردد: 1-جمع آوري اطلاعات : گام نخست شناسايي و جمع آوري اطلاعات هرچه بيشتر نسبت به هدف است. شناخت بيشتر منجر به افزايش احتمال موفقيت مي*گردد. در اين گام ابزارهاي پرس و جو مانند "Whois" و "NSlookup" و... براي كشف آدرس هاي دامنه ها و آي پي ها به كار مي رود. 2-پويش و ارزيابي نقاط آسيب پذير: به وسيله اسكن مي توان سرويس هاي فعال در ميزبان هاي شبكه هدف را شناسايي كرده و اطلاعات مرتبط با آنها را از قبيل نسخه هر كدام و پورت در حال سرويس دهي را به دست آورد. 3-به دست آوردن دسترسي هاي اوليه : اين امر با حملات R2L(Remote To Local) محقق مي گردد. نمونه بارز اين نوع حملات حمله حدس پسورد ، شنود ترافيك، سرريز بافر مي باشد. حمله R2L بدين معناست كه كاربر غير مجازي اقدام به آوردن دسترسي و سپس اجراي فرامين اجرايي نمايد. اين دسته از حملات معمولا از حفره ها و رخنه هاي سيستم هاي عامل و نرم افزارهاي كاربردي و ضعف پرتوكل هاي شبكه بهره مي جويند. 4-ارتقاء سطح دسترسي و عملكرد : به وسيله حملات U2R (User To Root) سطح دسترسي مهاجم، به طور غير مجاز افزايش می يابد. لذا مي تواند بازه عملكرد وسيع تر و آزاد تري داشته باشد. به طور رايج، مهاجم با استفاده از يك حساب كاربري منقضي شده و يا بي استفاده، اقدام به ارتقاي سطح حساب كاربري به سطح ريشه (Root) و يا راهبر سيستم (Administrator) كرده و سپس كدهاي مخرب و يا فرامين خود را در آن سطح اجرا مي كند. 5- اجراي سناريو از پيش طراحي شده حمله: با دزديدن، تخريب يا دستكاري اطلاعات محرمانه و با ارزش و يا تغيير ظاهر يك وب سايت و يا نصب يكBackdoor براي اقدامات آتي، مهاجم كار خود را با موفقيت به فرجام مي رساند. سامانه های تشخیص نفوذ به دو شکل تشخیص عمل می کنند:


    • تشخیص Misuse
    • تشخیص Anomaly

    دسته اول را Signature – Based یا بر اساس الگوی از پیش تعریف شده نیز می نامند. روش عملکرد در این نوع IDS به این صورت است که ناهنجاری های به وجود آمده درترافیک شبکه توسط انواع حمله ها ، اعم از ویروس ها، کرم ها، تروجان ها و ... تبدیل به الگو می گردد. سپس IDS با مقایسه ترافیک جاری شبکه با بانک الگوهایی که در اختیار دارد، قادر است حملات مختلف را تشخیص داده و اقدامات مقتضی را انجام دهد. مشکل بزرگ و اساسی این نوع سامانه های تشخیص نفوذ، ضعف آنها نسبت به حملات جدید و کشف نشده است. چرا که هنوز الگویی نسبت به این حملات در اختیار آنها قرار نگرفته است تا با مقایسه آن با جریان ترافیک شبکه حمله را تشخیص دهند. دسته دوم IDS ها ، تشخیص بر اساس Anomaly بر می گزینند. این سامانه ها، رفتار نرمال و معمولی ترافیک شبکه را مدل کرده و تبدیل به Profile برای آن شبکه میکنند. لذا در صورت بروز هر گونه ناهنجاری و رفتار غیر نرمال در جریان ترایک شبکه، تشخیص یک رخداد را محتمل می کند. در واقع هر عاملی که باعث انحراف جریان عملکرد شبکه از حالت نرمال (Normal Profile) گردد، به عنوان یک رفتار مشکوک تلقی می گردد. مزیت اصلی این نوع سامانه های تشخیص نفوذ، توانایی شناسایی تهاجماتی است که از قبل کشف شده اند. در واقع نوعی هوشمندی در این سامانه به کار رفته که با عملکرد فوق الذکر، توانایی شناسایی و کشف حملات جدی را دارا می باشند. به طور مثال تغییر رفتار ناگهانی یک کاربر به بوجود امدن یک هشدار (Alarm) می گردد. از جنبه های دیگر می توان سامانه تشخیص نفوذ را از نقطه نظر حوزه دفاعی آنها نیز دسته بندی کرده که از لحاظ دامنه تدافعی، IDS ها به دو دسته کلی تقسیم می شوند.

    • Host Based
    • Network Based

    Host-based IDS: این نوع سامانه بر روی میزبان نصب و پیکربندی می گردند و عملکرد مستقلی دارند. وظیفه این IDS ها، تنها محافظت همان رایانه میزبان مبی باشند. سامانه های تشخیص نفوذ میزبان محور، با پایش مستمر Device میزبان که در اینجا یک رایانه فرض می شود، رفتارها، گزارشات ثبت شده (Audit Log) و ... آن را بررسی و مرور کرده و رفتارهای مشکوک را کشف می کنند. Network-Based IDS: این نوع سامانه ها، معمولا بعد از دیوار آتش(Firewall) در شبکه ها، به عنوان سپر تدافعی ثانویه نصب می گردند. وظیفه اصلی این سامانه ها محافظت شبکه محلی از تهاجمات بوده، و میزبان های متعددی درون شبکه را رصد می کنند. در مقام قیاس Host-Based IDS ها برای تشخیص حملات R2L و U2R نیازمند نصب در تک تک میزبان ها می باشد که این امر مستلزم پشتیبانی و هزینه بالا می باشد. همچنین جمع آوری گزارشات به علت عدم وجود مدیریت متمرکز (Centralized Solution) کاری دشوار می باشد. در سامانه تشخیص نفوذ Network-Based ، مشکل مدیریت متمرکز رفع گردیده و این امر مزایای زیادی را به همراه داشته است. این سامانه با تحلیل ترافیک شبکه در نقاط مختلف و جمع اوری گزارشات و رخدادها، توان تشخیص و کشف حملت متعددی از جمله، Backdoor, Denial Of Service , Worm , Remote Procedure , Call Abuse , Port Scan & Probe , CGI Abuse , Logging Abuse , FTP Attacks و ... را دارا می باشند. اما در عین حال، حجم محاسبات بالا و زمان بر، تشخیص ناصحیح (False Positive) را می توان جزء معایب این سامانه ها بر شمرد. به خصوص در صورت افزایش حجم ترافیک شبکه این معایب بیشتر بروز می کنند. در واقع نسبت افزایش حجم ترافیک شبکه به حجم محاسبات، به طور غیر خطی افزایش دارد. جهت رفع این مشکل و کاهش حجم محاسبات، سامانه های تشخیص نفوذ سبک Light Weight IDS پیشنهاد شدند. این سامانه با بکارگیری روشهای تشخیصی خاص، عملکرد مطلوبتر و بهینه*تری را ارایه نمودند. حجم محاسبات Light Weight IDSها کاهش چشم گیری داشته، در عین حفظ عملکرد کیفی. در این سامانه ها به جای بررسی و پردازش تمامی بسته های انتقالی، یک فیلتر مفید و کارا پیشنهاد می گردد که در بعضی از موارد فقط 0.3% از جریان ترافیک شبکه بررسی می گردد.
    ادامه مطلب را دانلود نمایید...



    موضوعات مشابه:
    ویرایش توسط Mehdi : 26th February 2013 در ساعت 05:47 PM دلیل: اصلاح پست...

  2. #2
    SUPERMODERATOR
    تاریخ عضویت
    2012 May
    ارسال ها
    430
    تشکر
    750
    تشکر شده 961 بار در 440 پست
    نوشته های وبلاگ
    4


    آيا اين پست براي شما سودمند بود؟ بله | خیر
    لطفا فونت رو درست کنید خیلی ریزه....

    سه جمله برای کسب موفقیت: ..... 1. بیشتر از دیگران بدانید.....2. بیشتر از دیگران کار کنید......3. کمتر انتظار داشته باشید. ( ویلیام شکسپیر )

 

 

کاربران برچسب خورده در این موضوع

علاقه مندی ها (Bookmarks)

علاقه مندی ها (Bookmarks)

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  


Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Content Relevant URLs by vBSEO 3.6.0
Persian Language By Ustmb.ir
این انجمن کاملا مستقل بوده و هیچ ارتباطی با دانشگاه علوم و فنون مازندران و مسئولان آن ندارد..این انجمن و تمامی محتوای تولید شده در آن توسط دانشجویان فعلی و فارغ التحصیل ادوار گذشته این دانشگاه برای استفاده دانشجویان جدید این دانشگاه و جامعه دانشگاهی کشور فراهم شده است.لطفا برای اطلاعات بیشتر در رابطه با ماهیت انجمن با مدیریت انجمن ارتباط برقرار کنید
ساعت 01:39 PM بر حسب GMT +4 می باشد.