ﻧﮕﺎرش ﻣﻘﺎﻟﻪ ﭘﮋوهشی در رابطه با یک الگوریتم جدید مبتنی بر بسته تله جهت کشف حمله سیاهچاله ... |
 |
منظور از آنالیز حالت دستهای این است که اطلاعات مربوط به یک دوره زمانی جمع آوری میشوند و سپس به آنالیزگر داده میشوند. استفاده از این نوع زمانبندی در سیستمهای قدیمی استفاده میشده است. به علت اینکه پهنای باند ارتباطی و قدرت پردازشی در سیستمهای قدیمی به حدی نبوده است که سیستم ها بتوانند به صورت بلادرنگ عمل کنند.
بلادرنگ
با بالا رفتن قدرت پردازشی و همچنین افزایش پهنای باند ارتباطی، اکثر سیستمهای جدید از این روش استفاده میکنند. در این روش با هر رویدادی که رخ میدهد و یا در هر فاصله زمانی کوتاه، منبع اطلاعات به آنالیزگر داده میشود.
۲-۱-۶ روش های پاسخ
فاکتور دیگری که در سیستمهای تشخیص نفوذ مطرح است، نحوه عملی است که تشخیص دهنده به آن طریق واکنش نشان میدهد. سیستمهای تشخیص نفوذ به دو روش کلی در مقابل رخدادها عمل میکنند. این دو روش عبارتند از : جوابگویی[۴۲] و پاسخ فعال[۴۳] .
جوابگویی
شیوه واکنشی که برای یک سیستم تشخیص نفوذ در نظر گرفته میشود باعث ایجاد طرحها و پیاده سازیهای متفاوتی در رابطه با مسئول خرابی است. استفاده از این روش یکی از مسائل قابل بحث در زمینه تشخیص نفوذ میباشد.
پاسخ فعال
در سیستمهای تشخیص نفوذ، پاسخ فعال وقتی صورت میگیرد که نتیجه آنالیزها یک نتیجه قابل اجرا باشد رایج ترین نوع پاسخ فعال ذخیره اطلاعات در یک فایل لاگ و تهیه گزارش از آنها میباشد. این دادهها برای افراد مختلف به صورتهای متفاوت می تواند قابل استفاده باشد. یکی دیگر از جوابهایی که میتواند صورت گیرد، تغییر وضعیت سیستمی است که مورد حمله قرار گرفته است. علاوه بر این دو مورد، جوابهای فعال دیگری نیز وجود دارد نظیر بلاک کردن حمله کننده، تغییر پیکربندی دیواره آتش و …
۲-۱-۷ کنترل سیستم
یکی دیگر از مسائل مطرح در رابطه با سیستمهای تشخیص نفوذ، مساله کنترل سیستم است. برای انجام این کار سه روش عمده مورد استفاده قرار میگیرد [۹]:
مرکزی
در این مدل سیستم مدیریت و تولید گزارش به صورت مرکزی میباشد. در این روش یک سیستم مدیریت مرکزی، سیستم تشخیص نفوذ را کنترل میکند. استفاده از این روش پیش نیازهایی دارد، برای مثال تبادل اطلاعات بین مرکز و سایر بخشها باید به صورت امن انجام شود. علاوه بر این مورد باید راهی وجود داشته باشد که مشخص شود در هر لحظه چه بخشی از سیستم در حال فعالیت و چه بخشی از حرکت ایستاده است. مساله دیگر در رابطه با مدل مرکزی، ارسال شرایط نهایی به صورت مفهوم به کاربران نهایی میباشد.
استفاده از امکانات مدیریت شبکه
برای رفع مشکلاتی که روش مرکزی دارد میتوان عمل تشخیص نفوذ را به عنوان تابعی از سیستم مدیریت شبکه درآورد. در این روش اطلاعات جمع آوری شده توسط سیستمهای مدیریت شبکه میتوانند به عنوان یک منبع اطلاعات برای سیستمهای تشخیص نفوذ مورد استفاده قرار گیرند.
توزیع شده
راه دیگری که برای رفع مشکل حالت مرکزی وجود دارد استفاده از مدل توزیع شده میباشد. در این حالت آنالیزگر به صورت مرکزی نمیباشد. روشی که در این مدل میتوان استفاده کرد استفاده از عامل های متحرک است. در این حالت آنالیزگر در سطح شبکه حرکت میکند و نتایج جمع آوری شده بر روی سیستم های مختلف را مورد آنالیز قرار میدهد.
۲-۱-۸ منابع اطلاعات
اولین نیاز برای هر سیستم تشخیص نفوذ فراهم کردن دادههای ورودی است. این داده ها به روشهای مختلف از منابع گوناگونی فراهم میشوند. در سیستمهای تشخیص نفوذ، منابع از نظر پراکندگی به دو دسته کلی تقسیم میشوند که بر اساس آن، دو دسته سیستم تشخیص نفوذ به وجود میآید: سیستم تشخیص نفوذ مبتنی بر میزبان و سیستم تشخیص نفوذ مبتنی بر شبکه. در ادامه این بخش هر یک از دسته ها شرح داده میشود[۹] :
منابع اطلاعات سیستم مبتنی بر میزبان
در این دسته از سیستمهای تشخیص نفوذ، اطلاعات توسط مشخصات و دادههای سیستم عامل و یا برنامههای کاربردی فراهم میشوند:
۱- دنباله بازرسی سیستم عامل
اولین منبع اطلاعات که سیستمهای تشخیص نفوذ از آنها استفاده میکند، دنبالههای بازرسی سیستم عامل میباشند. دنباله بازرسی توسط بخشی به نام بخش بازرسی که زیر مجموعه سیستم عامل است تهیه میشود. دنباله بازرسی[۴۴] دربرگیرنده اطلاعاتی درباره فعالیت های سیستم میباشد. این اطلاعات بر حسب زمان مرتب شده اند و در یک یا چند فایل به نام فایل بازرسی ذخیره میشوند. هر فایل بازرسی متشکل از مجموعهای از رکوردهای بازرسی است که هر یک بیانگر یک رویداد در سیستم هستند. این رکوردها توسط فعالیتهای کاربر و یا فرآیندها ایجاد میشوند.
تولیدکنندگان سیستمهای عامل در طراحی دنبالههای بازرسی، دو مطلب را مورد توجه قرار داد هاند: اول اینکه، رکوردهای موجود در دنبالهها به صورت خودمحتوا باشند تا احتیاجی به رکورد دیگری برای تفسیر آن نباشد و دیگر اینکه اطلاعات اضافی از دنبالهها حذف شوند، به این معنی که برای یک رویداد اطلاعات در رکوردهای مختلف ذخیره نشود.
با اینکه دنبالههای بازرسی به عنوان مهمترین منبع اطلاعات سیستمهای تشخیص ن
فوذ مورد استفاده قرار میگیرند، اما تحقیقات نشان داده است که این دنبالهها ممکن است دربرگیرنده اطلاعات مهمی که مورد استفاده سیستم های تشخیص نفوذ قرار بگیرد نباشند، همچنین شفافیت موجود در دنبالهها کم است. اما با وجود این مشکلات، بسیاری از سیستمهای تشخیص نفوذ از این دنبالهها استفاده میکنند. مهمترین دلیل این سیستم ها، امنیت دنباله ها و حفاظتی است که توسط سیستم عامل بر روی آنها انجام میشود و دیگر اینکه این دنبال کنندهها آشکارکنندههای خوبی برای رویدادهای سیستم هستند.
دنبالههای بازرسی در هر دو سطح هسته [۴۵] و کاربر ذخیره میشوند. دنبالههای لایه هسته شامل آرگومانهای System call ها و مقادیر بازگشتی آنها میباشند و دنبالههای لایه کاربر مشخص کننده توضیح سطح بالاتر از رویدادها و برنامههای کاربردی میباشند.
۲- لاگهای سیستم
لاگهای سیستم فایلهایی هستند که مشخص کننده رویدادهای سیستم و تنظیمات مختلف سیستم میباشند. این لاگها در مقایسه با دنبالههای بازرسی که توسط هسته تولید میشوند از نظر امنیت در سطح پایینتری قرار دارند. این ضعف به چند علت میباشد: اول اینکه برنامه تولیدکننده لاگ سیستم، یک برنامه سطح کاربر است که در مقایسه با سیستم عامل از امنیت کمتری برخوردار است. علاوه بر این، اطلاعات تولید شده توسط برنامه تولید کننده لاگ توسط سیستم فایل نگهداری میشود که باز در مقایسه با دنبالههای بازرسی از امنیت کمتری برخوردار هستند و نهایتا ً اینکه لاگ های تهیه شده توسط تولید کننده لاگ به صورت متن میباشند در حالیکه اطلاعات دنبالههای بازرسی به صورت رمز شده ذخیره میشوند. با وجود تمام این ضعفها، به علت سادگی استفاده از این لاگ ها، بسیاری از سیستمهای تشخیص نفوذ از آنها استفاده میکنند و در مواردی که استفاده از دنبالههای بازرسی کار سادهای نباشد، میتوان از وجود لاگ به عنوان منبع اطلاعات سود جست .
۳- اطلاعات برنامه های کاربردی
در دو منبع قبل اطلاعات تولید شده در سطح سیستم بودند. اما غالباً فعالیت های سیستم در مقایسه با برنامههای کاربردی از امنیت بیشتری برخوردار هستند، به همین جهت لازم است برای برنامههای کاربردی نیز بتوان اطلاعاتی را بدست آورد. اطلاعات تولید شده توسط برنامههای کاربردی، یکی دیگر از منابع اطلاعاتی است که مورد استفاده سیستم های تشخیص نفوذ قرار میگیرند.
برای مثال از منابع اطلاعاتی که توسط برنامهکاربردی تولید میشود، می توان به اطلاعات تولید شده توسط بانکهای اطلاعاتی اشاره کرد. در بسیاری از سازمانها، بانکهای اطلاعاتی از مهمترین منابعی است که مورد حمله قرار میگیرند، بنابراین اطلاعات تولید شده توسط آنها بسیار حائز اهمیت میباشد. مثال دیگری که از اطلاعات تولید شده توسط برنامه کاربردی میتوان یاد کردوب سرورها هستند ، اکثر وب سرورها مکانیزم تولید لاگای دارند که مشخص کننده مراجعات انجام شده به سایت مربوطه میباشد.
۴- بازبینی مبتنی بر هدف
روش بازبینی مبتنی بر هدف حالت خاصی از بازبینی مبتنی بر میزبان است. در این حالت، فرض این است که در صورتیکه دنبالههای سطح هسته وجود نداشته باشند، باید بتوان لاگهایی را تولید کرد و از آنها استفاده کرد. برای انجام این کار باید در ابتدا چگونگی تعریف و پیاده سازی لاگها را مشخص کرد. برای این کار، اشیاء قابل توجه در سیستم مشخص و سپس با یک مکانیزم بازبینی اطلاعاتی در مورد آن اشیاء تولید میشود . این اطلاعات برای مثال میتواند نشان دهندهی یکپارچگی شئ و یا کد CRC آن باشد. بدین ترتیب هر تغییری که در اطلاعات تهیه شده از اشیاء مورد نظر انجام شود، رویداد مربوطه ذخیره و نگهداری میشود.
۲-۱-۸-۱ منابع اطلاعات سیستم مبتنی بر شبکه
ترافیک شبکه یکی از رایج ترین منابع اطلاعات برای سیستم های تشخیص نفوذ میباشد. در این حالت دادهها از ترافیک شبکه جمع آوری و مورد آنالیز قرار میگیرند.
اطلاعات بدست آمده از ترافیک شبکه از جنبههای مختلف دارای اهمیت میباشد. یکی از علت ها، نرخ ورود بستهها میباشد. در اکثر موارد، نرخ ورود بستهها به اندازهای نیست که دریافت آنها در کارائی سیستم مشکلی ایجاد کند. یکی دیگر از مزایای استفاده از اطلاعات شبکه این است که دریافت اطلاعات از دید کاربر مخفی میباشد. علاوه بر این موارد، با بررسی اطلاعات شبکه می توان حملاتی را تشخیص داد که با بررسی اطلاعات سیستم عامل و یا برنامه کاربردی قابل تشخیص نبوده است.
در سیستمهای تشخیص نفوذ که از ترافیک شبکه به عنوان منبع اطلاعات استفاده میکنند، بستههای عبوری بر روی شبکه توسط کارت شبکه دریافت میشوند . این کار با قرار دادن کارت شبکه در حالت بی قاعده انجام میشود. با این کار، علاوه بر دریافت بستههای مربوط به آن سیستم، سایر بستهها نیز توسط کارت دریافت میشود. برای دریافت بستهها از روی شبکه، امکانات خاصی فراهم شده است. به عنوان نمونه می توان کتابخانه libpcap را نام برد. بسیاری از سیستمهای تشخیص نفوذ از این کتابخانه برای دریافت بستهها استفاده میکنند.
۲-۱-۹ آنالیز و تکنیک های تشخیص نفوذ
کار اصلی سیستمهای تشخیص نفوذ، آنالیز دادهها میباشد. فرایند آنالیز را میتوان به سه فاز مختلف تقسیم کرد[۹]:
۱. ساختن موت
ور آنالیزکننده
۲. آنالیز کردن دادهها
۳. بازگشت و اصلاح
هر کدام از دو فاز اول، خود از سه مرحله تشکیل شده اند که عبارتند از پیش پردازش دادهها، کلاسبندی دادهها و پردازش نهایی
ساختن موتور آنالیز کننده
اولین فاز آنالیز، ساختن موتور آنالیز است. در این فاز سه عمل پیش پردازش دادهها، کلاسبندی دادهها و پردازش نهایی صورت میگیرد. برای انجام این کارها مراحل زیر انجام می شود:
۱. در ابتدا دادههایی به عنوان نمونه جمع آوری میشوند. در حالت تشخیص سوء استفاده این اطلاعات عبارتند از مشخصات حملات، نقاط آسیب پذیر، نفوذها و … و برای حالت تشخیص ناهنجاری این اطلاعات عبارتند از رفتار سیستم در حالت عادی.
۲. مرحله بعد از جمع آوری دادهها، انجام پیش پردازش بر روی آنها میباشد تا بتوان آنها را به فرمی که قابل استفاده باشد تبدیل کرد.
فرم در حال بارگذاری ...
|
[یکشنبه 1400-08-02] [ 10:33:00 ب.ظ ]
|
