PhonieX
مدیر انجمن <A href="forum.majidonline.com/forums/6
تشخيص و جلوگيري از نفوذ سه وظيفه اصلي جمعآوري دادهها، آناليز دادهها و عمليات پاسخ را شامل ميشود. در بخش جمعآوري دادهها سيستم اطلاعات مورد نياز خود را مانند دسترسي به فايلهاي مختلف تحت نظارت و يا اطلاعات در مورد عملكرد شبكه، جمعآوري ميكند. در سيستمهاي مبتني بر ميزبان دادهها بر اساس منابع داخل ميزبان که اکثراً در سطح سيستمعامل ميباشند جمعآوري ميشود. از سوي ديگر در سيستمهاي مبتني بر شبكه با آناليز بستههاي عبوري در شبكه پارامترهاي مورد نياز جهت تشخيص نفوذ در اختيار بخش آناليز قرار ميگيرند. تعيين دقيق دادههايي كه بايد جمعآوري شوند مسئلهاي حساس در عملكرد IDS است.
تشخيص و جلوگيري از نفوذ
علي ورشوي-امن افزارگستر شريف
در قسمت قبل به معرفي سيستمهاي تشخيص نفوذ و ارائه تاريخچه مختصري از اين سيستمها پرداختيم. گسترش و توسعه اين سيستمها تا سالها پس از معرفي، به عنوان سيستمهايي مجزا مطرح بود. سيستمهايي كه به صورت Passive تنها به جمعآوري اطلاعات و بررسي آنها در راستاي كشف حملات و نفوذ ميپرداختند. تا مدتها اين سئوال مطرح بود كه مزاياي استفاده از اين سيستمها چيست؟ چرا هزينه و سربار استفاده از اين سيستمها را بپذيريم در حالي كه دسترسيها را با فايروال محدود كردهايم، سيستمها به طور مرتب وصلههاي امنيتي را دريافت ميكنند، از آنتيويروس استفاده ميكنيم و كلمات عبور مناسب انتخاب ميكنيم؟
متخصصين امنيت اطلاعات توافق دارند كه حتي با به كارگيري تمامي مكانيزمهاي امنيتي ممكن رسيدن به امنيت مطلق امكانپذير نيست و بايد همواره منتظر حملات جديد باشيم. همواره اين احتمال وجود دارد كه در تنظيم قواعد دسترسي در فايروال اشتباه كرده باشيم، ممكن است سيستمهاي ما در معرض حملات جديدي قرار بگيرند كه ما از چگونگي آنها بياطلاع باشيم، و يا حتي موجوديتهاي مجاز كه امكان دسترسي به سيستمها را دارند دست به اجراي حمله و عمليات نفوذ بزنند. همانطور كه در بخش قبل بيان شد، جستوجو جهت بررسي وضعيت سيستمها و مشكلات مرتبط با كاركرد و امنيت آنها تا قبل از ايده بكارگيري IDS نيز مطرح بوده است ولي اين كار عموما توسط مديران سيستم و با بررسي و مرور رويدادهاي ثبت شده صورت ميگرفت. با افزايش چشمگير استفاده از كامپيوترها و شبكههاي كامپيوتري بررسي حجم بالاي رويدادهاي توليد شده به صورت دستي و توسط مديران سيستم امكانپذير نبود.
پس استفاده از IDS حتي در صورتيكه به صورت برون-خط به كار گرفته شود تا حد قابل توجهي به سادگي مديريت سيستمها و شبكههاي كامپيوتري كمك ميكند. به تدريج با رشد و توسعه سيستمهاي IDS و افزايش دقت اين سيستمها از طريق بهكارگيري الگوريتمهاي هوشمند از يك سو و پيشرفت سختافزارهاي محاسباتي از سوي ديگر امكان عملكرد درون-خط اين سيستمها فراهم گرديد. سيستمهاي Inline IDS منابع تحت نظارت خود را به صورت بلادرنگ مورد ارزيابي قرار ميدهند و ضمن تشخيص حملات در حال انجام نسبت به انسداد عمليات نفوذي اقدام ميكنند. اگرچه به دليل امكان انسداد حمله عنوان IPS به اين سيستمها اطلاق گرديد، ولي تشخيص حمله به عنوان اصليترين و پيچيدهترين وظيفه اين سيستمها مطرح است.
پروسه تشخيص نفوذ
تشخيص و جلوگيري از نفوذ سه وظيفه اصلي جمعآوري دادهها، آناليز دادهها و عمليات پاسخ را شامل ميشود. در بخش جمعآوري دادهها سيستم اطلاعات مورد نياز خود را مانند دسترسي به فايلهاي مختلف تحت نظارت و يا اطلاعات در مورد عملكرد شبكه، جمعآوري ميكند. در سيستمهاي مبتني بر ميزبان دادهها بر اساس منابع داخل ميزبان که اکثراً در سطح سيستمعامل ميباشند جمعآوري ميشود. از سوي ديگر در سيستمهاي مبتني بر شبكه با آناليز بستههاي عبوري در شبكه پارامترهاي مورد نياز جهت تشخيص نفوذ در اختيار بخش آناليز قرار ميگيرند. تعيين دقيق دادههايي كه بايد جمعآوري شوند مسئلهاي حساس در عملكرد IDS است.
اكثر سيستمهاي عامل رويدادهاي مرتبط با امنيت را جمعآوري ميكنند كه ميتواند منبع اطلاعات خوبي براي IDS باشد. اما اين رويدادها در بيشتر مواقع اطلاعات سادهاي نظير دفعات خطا در ورود به سيستم و يا تلاش براي دسترسي به منابع غير مجاز توسط كاربران را ارائه ميكنند. اين اطلاعات جهت تشخيص حملاتي كه با سناريوهاي پيچيده و استفاده از اختيارات مجاز يك كاربر انجام ميشوند چندان مفيد نيست. بنابراين سيستمهاي تشخيص نفوذ علاوه بر استفاده از رويدادهاي سيستمهاي مورد نظارت، حسگرهايي را جهت جمعآوري دادههاي مورد نيازشان به كار ميگيرند. اين حسگرها ممكن است در يك ميزبان به بررسي جوانب مختلف عمليات سيستم بپردازند و يا در يك معماري توزيعشده در نقاط مختلف شبكه و ميزبانهاي محيط تحت نظارت خود قرار بگيرند.
با پيچيدهتر شدن سناريوهاي حملات حجم اطلاعاتي كه لازم است تا حسگرها جمعآوري كنند افزايش مييابد. اين مساله نه تنها باعث پيچيدگي آناليز دادهها ميگردد بلكه مسئله ديگري تحت عنوان ذخيرهسازي و بازيابي سريع اطلاعات را مطرح ميكند كه در بخش بعدي مقاله به بررسي رويكردهاي جديد در حل اين مساله اشاره ميكنيم. دو رويكرد اصلي براي بخش آناليز يا تحليل تشخيص نفوذ مطرح است. تشخيص سوء استفاده كه وقايع را براي يافتن الگوهاي از پيش تعريف شده سوءاستفاده يا حمله مورد جستجو قرار ميدهد و تشخيص ناهنجاري كه انحراف سيستم از وضعيت عملكرد نرمال را گزارش ميكنند. مهمترين بحث بين رويكرد تشخيص سوءاستفاده و تشخيص ناهنجاري ميزان همپوشاني فعاليتهاي نرمال و غير نرمال است.
دنينگ ثابت كرد كه ناحيه فعاليت سوء استفاده به اندازه كافي خارج از ناحيه فعاليت نرمال قرار ميگيرد يعني فصل مشترك بين دو ناحيه حداقل است و لذا از روي ويژگي هاي رفتار نرمال ميتوان ناهنجاري را تشخيص داد. اما در ديدگاهي ديگر عنوان ميشود كه اين فصل مشترك خيلي بزرگ است بنابراين ممكن است در تشخيص فعاليت نرمال خطا وجود داشته باشد. از نگاهي ديگر سيستمهاي تشخيص سوءاستفاده به دليل آنكه الگوهاي حملات پيشين را در خود دارند، ميتوانند به تعيين دقيق حمله اتفاق افتاده به صورت بلادرنگ بپردازند. از سوي ديگر سيستمهاي تشخيص ناهنجاري امكان تشخيص حملات ناشناخته و جديد را دارند زيرا آنچه براي اين سيستمها تعريف شده است فعاليت نرمال سيستم است و هر اتفاقي خلاف آن اعم از شناخته شده يا ناشناخته را به عنوان حمله گزارش ميكنند.
عمليات پاسخ يك سيستم تشخيص نفوذ، ميتواند انواع متفاوتي داشته باشد. توليد هشدار سادهترين عكسالعملي است كه اين سيستمها در زمان تشخيص حمله انجام ميدهند. در نسل نوين اين سيستمها عمليات پاسخ ميتواند شامل فعاليتهاي جديتري به صورت ارسال پيام به مدير سيستم، خارجكردن بستههاي حمله از شبكه، بستن نشستهاي حمله، جلوگيري از ادامه فعاليت كاربر مشكوك، خاموش كردن سيستم تحت نظارت، ارسال فرمان انسداد ترافيك به روترها، تعريف سياست فليترينگ ترافيك در فايروالها، فعالكردن عاملهاي خاص جهت انسداد حمله باشد.
خطا در سيستمهاي تشخيص نفوذ
از مسائل مهم در تعيين صحت عملكرد سيستمهاي تشخيص نفوذ، مساله هشدارهاي غلط است. اين هشدارها در دو دسته هشدارهاي غلط- مثبت و هشدارهاي غلط- منفي قرار ميگيرند. هشدار غلط- مثبت زماني رخ ميدهد كه سيستم به اشتباه يك فعاليت مجاز را فعاليتي نفوذي تشخيص دهد و در مورد ديگر، هشدار غلط- منفي، سيستم قادر به تشخيص رفتار نفوذي نخواهد بود. با توجه به نوع محيطي كه سيستم به حفاظت از آن ميپردازد، بهبود عملكرد سيستم با استفاده از كاهش يكي از اين دسته هشدارهاي غلط صورت ميپذيرد. به عنوان مثال در يك سيستم بانكداري اينترنتي كاهش هشدارهاي غلط-مثبت اهميت فوقالعادهاي دارد زيرا قطع فعاليت كاربران مجاز ميتواند باعث نارضايتي مشتريان و زيان مالي به بانك شود. اما در يك محيط نظامي به دليل حساسيت بسيار بالاي اطلاعات سيستمها پيكربندي IDS بايد در جهت كاهش هشدارهاي غلط-منفي باشد.
منبع
تشخيص و جلوگيري از نفوذ
علي ورشوي-امن افزارگستر شريف
در قسمت قبل به معرفي سيستمهاي تشخيص نفوذ و ارائه تاريخچه مختصري از اين سيستمها پرداختيم. گسترش و توسعه اين سيستمها تا سالها پس از معرفي، به عنوان سيستمهايي مجزا مطرح بود. سيستمهايي كه به صورت Passive تنها به جمعآوري اطلاعات و بررسي آنها در راستاي كشف حملات و نفوذ ميپرداختند. تا مدتها اين سئوال مطرح بود كه مزاياي استفاده از اين سيستمها چيست؟ چرا هزينه و سربار استفاده از اين سيستمها را بپذيريم در حالي كه دسترسيها را با فايروال محدود كردهايم، سيستمها به طور مرتب وصلههاي امنيتي را دريافت ميكنند، از آنتيويروس استفاده ميكنيم و كلمات عبور مناسب انتخاب ميكنيم؟
متخصصين امنيت اطلاعات توافق دارند كه حتي با به كارگيري تمامي مكانيزمهاي امنيتي ممكن رسيدن به امنيت مطلق امكانپذير نيست و بايد همواره منتظر حملات جديد باشيم. همواره اين احتمال وجود دارد كه در تنظيم قواعد دسترسي در فايروال اشتباه كرده باشيم، ممكن است سيستمهاي ما در معرض حملات جديدي قرار بگيرند كه ما از چگونگي آنها بياطلاع باشيم، و يا حتي موجوديتهاي مجاز كه امكان دسترسي به سيستمها را دارند دست به اجراي حمله و عمليات نفوذ بزنند. همانطور كه در بخش قبل بيان شد، جستوجو جهت بررسي وضعيت سيستمها و مشكلات مرتبط با كاركرد و امنيت آنها تا قبل از ايده بكارگيري IDS نيز مطرح بوده است ولي اين كار عموما توسط مديران سيستم و با بررسي و مرور رويدادهاي ثبت شده صورت ميگرفت. با افزايش چشمگير استفاده از كامپيوترها و شبكههاي كامپيوتري بررسي حجم بالاي رويدادهاي توليد شده به صورت دستي و توسط مديران سيستم امكانپذير نبود.
پس استفاده از IDS حتي در صورتيكه به صورت برون-خط به كار گرفته شود تا حد قابل توجهي به سادگي مديريت سيستمها و شبكههاي كامپيوتري كمك ميكند. به تدريج با رشد و توسعه سيستمهاي IDS و افزايش دقت اين سيستمها از طريق بهكارگيري الگوريتمهاي هوشمند از يك سو و پيشرفت سختافزارهاي محاسباتي از سوي ديگر امكان عملكرد درون-خط اين سيستمها فراهم گرديد. سيستمهاي Inline IDS منابع تحت نظارت خود را به صورت بلادرنگ مورد ارزيابي قرار ميدهند و ضمن تشخيص حملات در حال انجام نسبت به انسداد عمليات نفوذي اقدام ميكنند. اگرچه به دليل امكان انسداد حمله عنوان IPS به اين سيستمها اطلاق گرديد، ولي تشخيص حمله به عنوان اصليترين و پيچيدهترين وظيفه اين سيستمها مطرح است.
پروسه تشخيص نفوذ
تشخيص و جلوگيري از نفوذ سه وظيفه اصلي جمعآوري دادهها، آناليز دادهها و عمليات پاسخ را شامل ميشود. در بخش جمعآوري دادهها سيستم اطلاعات مورد نياز خود را مانند دسترسي به فايلهاي مختلف تحت نظارت و يا اطلاعات در مورد عملكرد شبكه، جمعآوري ميكند. در سيستمهاي مبتني بر ميزبان دادهها بر اساس منابع داخل ميزبان که اکثراً در سطح سيستمعامل ميباشند جمعآوري ميشود. از سوي ديگر در سيستمهاي مبتني بر شبكه با آناليز بستههاي عبوري در شبكه پارامترهاي مورد نياز جهت تشخيص نفوذ در اختيار بخش آناليز قرار ميگيرند. تعيين دقيق دادههايي كه بايد جمعآوري شوند مسئلهاي حساس در عملكرد IDS است.
اكثر سيستمهاي عامل رويدادهاي مرتبط با امنيت را جمعآوري ميكنند كه ميتواند منبع اطلاعات خوبي براي IDS باشد. اما اين رويدادها در بيشتر مواقع اطلاعات سادهاي نظير دفعات خطا در ورود به سيستم و يا تلاش براي دسترسي به منابع غير مجاز توسط كاربران را ارائه ميكنند. اين اطلاعات جهت تشخيص حملاتي كه با سناريوهاي پيچيده و استفاده از اختيارات مجاز يك كاربر انجام ميشوند چندان مفيد نيست. بنابراين سيستمهاي تشخيص نفوذ علاوه بر استفاده از رويدادهاي سيستمهاي مورد نظارت، حسگرهايي را جهت جمعآوري دادههاي مورد نيازشان به كار ميگيرند. اين حسگرها ممكن است در يك ميزبان به بررسي جوانب مختلف عمليات سيستم بپردازند و يا در يك معماري توزيعشده در نقاط مختلف شبكه و ميزبانهاي محيط تحت نظارت خود قرار بگيرند.
با پيچيدهتر شدن سناريوهاي حملات حجم اطلاعاتي كه لازم است تا حسگرها جمعآوري كنند افزايش مييابد. اين مساله نه تنها باعث پيچيدگي آناليز دادهها ميگردد بلكه مسئله ديگري تحت عنوان ذخيرهسازي و بازيابي سريع اطلاعات را مطرح ميكند كه در بخش بعدي مقاله به بررسي رويكردهاي جديد در حل اين مساله اشاره ميكنيم. دو رويكرد اصلي براي بخش آناليز يا تحليل تشخيص نفوذ مطرح است. تشخيص سوء استفاده كه وقايع را براي يافتن الگوهاي از پيش تعريف شده سوءاستفاده يا حمله مورد جستجو قرار ميدهد و تشخيص ناهنجاري كه انحراف سيستم از وضعيت عملكرد نرمال را گزارش ميكنند. مهمترين بحث بين رويكرد تشخيص سوءاستفاده و تشخيص ناهنجاري ميزان همپوشاني فعاليتهاي نرمال و غير نرمال است.
دنينگ ثابت كرد كه ناحيه فعاليت سوء استفاده به اندازه كافي خارج از ناحيه فعاليت نرمال قرار ميگيرد يعني فصل مشترك بين دو ناحيه حداقل است و لذا از روي ويژگي هاي رفتار نرمال ميتوان ناهنجاري را تشخيص داد. اما در ديدگاهي ديگر عنوان ميشود كه اين فصل مشترك خيلي بزرگ است بنابراين ممكن است در تشخيص فعاليت نرمال خطا وجود داشته باشد. از نگاهي ديگر سيستمهاي تشخيص سوءاستفاده به دليل آنكه الگوهاي حملات پيشين را در خود دارند، ميتوانند به تعيين دقيق حمله اتفاق افتاده به صورت بلادرنگ بپردازند. از سوي ديگر سيستمهاي تشخيص ناهنجاري امكان تشخيص حملات ناشناخته و جديد را دارند زيرا آنچه براي اين سيستمها تعريف شده است فعاليت نرمال سيستم است و هر اتفاقي خلاف آن اعم از شناخته شده يا ناشناخته را به عنوان حمله گزارش ميكنند.
عمليات پاسخ يك سيستم تشخيص نفوذ، ميتواند انواع متفاوتي داشته باشد. توليد هشدار سادهترين عكسالعملي است كه اين سيستمها در زمان تشخيص حمله انجام ميدهند. در نسل نوين اين سيستمها عمليات پاسخ ميتواند شامل فعاليتهاي جديتري به صورت ارسال پيام به مدير سيستم، خارجكردن بستههاي حمله از شبكه، بستن نشستهاي حمله، جلوگيري از ادامه فعاليت كاربر مشكوك، خاموش كردن سيستم تحت نظارت، ارسال فرمان انسداد ترافيك به روترها، تعريف سياست فليترينگ ترافيك در فايروالها، فعالكردن عاملهاي خاص جهت انسداد حمله باشد.
خطا در سيستمهاي تشخيص نفوذ
از مسائل مهم در تعيين صحت عملكرد سيستمهاي تشخيص نفوذ، مساله هشدارهاي غلط است. اين هشدارها در دو دسته هشدارهاي غلط- مثبت و هشدارهاي غلط- منفي قرار ميگيرند. هشدار غلط- مثبت زماني رخ ميدهد كه سيستم به اشتباه يك فعاليت مجاز را فعاليتي نفوذي تشخيص دهد و در مورد ديگر، هشدار غلط- منفي، سيستم قادر به تشخيص رفتار نفوذي نخواهد بود. با توجه به نوع محيطي كه سيستم به حفاظت از آن ميپردازد، بهبود عملكرد سيستم با استفاده از كاهش يكي از اين دسته هشدارهاي غلط صورت ميپذيرد. به عنوان مثال در يك سيستم بانكداري اينترنتي كاهش هشدارهاي غلط-مثبت اهميت فوقالعادهاي دارد زيرا قطع فعاليت كاربران مجاز ميتواند باعث نارضايتي مشتريان و زيان مالي به بانك شود. اما در يك محيط نظامي به دليل حساسيت بسيار بالاي اطلاعات سيستمها پيكربندي IDS بايد در جهت كاهش هشدارهاي غلط-منفي باشد.
منبع
