IDS یا سیستم تشخیص نفوذ چیست؟ مفهوم Intrusion Detection در امنیت چیست؟ چند نوع IDS داریم و نحوه کار هر کدام چگونه است؟ چند نوع روش تشخیص نفوذ وجود دارد؟ مهاجمان یا هكرها هميشه به دنبال حمله كردن به شبكه ها هستند . بهينه سازي و ايمن سازي تنظيمات سيستم از دسترسي آسان هكرها به شبكه ها تا حد زيادي جلوگيري مي كند . سيستم هاي تشخصي نفوذ ( IDS: Intrusion Detection Systems) ، فايروال ها ( Firewalls) و هاني پات يا ظرف عسل ( Honey pot) از فناوري هايي هستند كه مي توانند از بروز حملات هكري به شبكه ها تا حد زيادي جلوگيري كنند .
مجموعه دوره آموزش فایروال (Firewall) و تجهیزات امنیتی - مقدماتی تا پیشرفته
![IDS چیست؟ معرفی سیستم تشخیص نفوذ و انواع آن به زبان بسیار ساده](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" width="1225" height="550"></svg>)
يك IDS يا سيستم تشخيص نفوذ ، كليه فعاليت هاي موجود بر روي شبكه را تجزيه و تحليل كرده و با استفاده از اطلاعات موجود بر روي پايگاه داده خود تعيين مي كند كه فعاليت انجام شده مجاز است يا غير عادي و غير مجاز است و همچنين تعيين مي كند كه آيا اين فعاليت مي تواند آسيبي به شبكه شما وارد كند يا خير و در نهايت به شما در مورد اينگونه فعاليت ها اطلاع رساني مي كند . اين اطلاع رساني معمولا از طريق ارسال آلارم ( alarm) يا هشدار به مدير سيستم انجام مي شود . يك IDS در حقيقت يك نوع Packet-Sniffer محسوب مي شود بطوري كه كليه Packet هاي ارسالي و دريافتي در شبكه را دريافت كرده و آنهارا تجزيه و تحليل مي كند ، اين سيستم توانايي فعاليت با انواع پرتكل هاي ارتباطي در شبكه را داراست بويژه توانايي فعاليت با پروتكل Tcp/IP .
روش هاي تشخيص نفوذ
بصورت كلي 3 روش براي شناسايي و تشخيص نفوذ به شبكه وجود دارد كه به شرح زير هستند :
- .شناسايي امضاء يا ( Signature) : در اين روش كه همانند كاري است كه يك آنتي ويروس انجام مي دهد ، IDS داراي يك پايگاه داده است كه در آن نوع و روش فعاليت برخي از حملات مشخص شده اند ، به محض اينكه IDS ترافيكي را تشخصي دهد آنرا با اطلاعات پايگاه داده مربوطه مقايسه كرده و در صورت بروز تطابق اعلام هشدار مي كند.
- تشخيص رفتار غير عادي ( Anomaly ) : در اين نوع از انواع IDS سيستم با توجه به رفتاري كه در شبكه عادي وجود دارد و ترافيكي كه در اثر يك عمل غير عادي ايجاد شده است و با توجه به بررسي هاي خود و مقايسه ترافيك طبيعي و غيرعادي تصميم مي گيرد كه در مورد اين نوع ترافيك هشدار دهد.
- تشخيص پرتكل غيرعادي ( Anomaly Protocol) : در اين نوع تشخصي مدل ها بر اساس مشخصات پرتكل TCP/IP تجزيه و تحليل مي شوند و در صورت مشخص شدن تغييرات در مشخصات اين پروتكل سيستم هشدار فعال مي شود .
انواع سيستم هاي تشخيص نفوذ
- سيستم هاي تشخيص نفوذ تحت شبكه ( Network Based IDS) : اينگونه از سيستم ها مانند يك جعبه سياه هستند كه در شبكه قرار گرفته و كارت شبكه آنها در حالت بي قيد ( Promiscuous) قرار مي گيرد و كليه ترافيك شبكه را دريافت و تجزيه و تحليل مي كند . مانند نرم افزار SNORT در سيستم عامل لينوكس.
- سيستم هاي تشخيص نفوذ ميزبان ( Host Based IDS): اينگونه از سيستم ها با استفاده از مميزي ( audit) كردن فايل هاي Log مربوط به يك رخداد بر روي هر سيستم فعاليت مي كنند و اين رويداد ها را تجزيه و تحليل مي كنند . از اينگونه از سيستم ها به دليل ايجاد بار كاري زياد براي هر سيستم ( CPU) معمولا كمتر استفاده مي شود . نرم افزار اينگونه سيستم تشخصي نفوذ بصورت تك به تك بر روي تمامي سيستم ها نصب مي شود و بصورت مجزا فعاليت مي كنند . مانند نرم افزار CSA: Cisco Security Agent.
- پايش فايل هاي Log File Monitoring : در اين نوع سيستم از كليه رخداد هاي ( Event) هاي روي سيستم هاي شبكه Log برداري مي شود و همه اين Log ها به يك سرور بر روي شبكه منتقل شده و از طريق آن مورد تجزيه و تحليل قرار مي گيرند.
- چك كردن صحت و كامل بودن فايل ( File Integrity Checker) : اينگونه سيستم ها معمولا براي تشخيص انواع تروجان و نرم افزارهايي بكار مي رود كه باعث ايجاد تغييرات بر روي سيستم مي شوند ، در اين روش از هر فايل بر روي سيستم يك هش ( Hash) گرفته مي شود و در داخل يك ژايگاه داده مركزي نگهداري مي شود و در صورت بروز مشكل اين Hash با Hash فايل جديد مقايسه مي شود و در صورت عدم تطابق اعلام اخطار مي شود . ماننده نرم افزار Tripwire كه از نوع SIV: System Integrity Verifier مي باشد.
در دوره آموزش نتورک پلاس و در قسمت پانزدهم در خصوص مفاهیم سیستم های تشخیص نفوذ بصورت کلی صحبت شده است اما برای یادگیری کامل مفاهیم تشخیص نفوذ ، یادگیری دوره آموزش سکیوریتی پلاس رو حتما توصیه می کنم.
سوالات متداول
آی دی اس ( IDS ) چیست؟
آی دی اس یا IDS که مخفف Intrusion Detection System است در واقع یک نرم افزار یا سخت افزار است که با تجزیه و تحلیل ترافیک شبکه ، از وقوع یک حمله یا خرابکاری امنیتی مطلع می شود و شما می توانید با استفاده از آن امنیت شبکه یا سیستم عامل خود را بالا ببرید.
چند نوع IDS وجود دارد؟
در ساده ترین تعریف ممکن IDS ها به دو دسته بندی کلی Host Based IDS یا HIDS ها که بر روی سیستم عامل ها نصب می شوند و Network Based IDS ها یا NIDS که در شبکه فعالیت می کنند طبقه بندی می شوند.
![محمد نصیری](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" width="120" height="120"></svg>)