سیستم های تشخیص و جلوگیری از نفوذ ( IPS/IDS ) از چه روشهایی برای شناسایی ترافیک های مخرب شبکه استفاده می کنند؟ سنسور می تواند ترافیک مخرب را به روش های مختلفی شناسایی کند. زمانی که سنسور ترافیک را آنالیز می کند براساس مجموعه قوانینی که برای آن مشخص شده است به دنبال ترافیک مخرب می گردد. روش های مختلفی برای شناسایی ترافیک مخرب وجود دارد که به شرح زیر هستند :
یک signature الگویی است که سنسور آنرا با ترافیک در حال عبور مقایسه می کند این الگوی می تواند درون یک بسته یا مجموعه ای از بسته ها یافت شود. یک سنسور هزاران signature را شامل می شود که توسط سیسکو ارائه شده اند. همه این signature ها به صورت پیش فرض فعال نیستند ولی برحسب نیاز می توانید آنها را فعال ، غیر فعال یا تغییر دهید و حتی براساس شرایط شبکه می توانید signature مورد نظر خود را بنویسید. به طور مثال حمله cross-site scripting را در نظر بگیرید که در آن مهاجم یه مقدار غیر متعارف در متغییرهای HTTP قرار می دهد و به این شکل دستورات مورد نظر خود را روی سایت اجرا می کند.
سیسکو برای این مشکل signature در نظر گرفته است تا مقادیری که توسط کاربران در سایت وارد می شود در ابتدا کنترل و در صورت سالم بودن اجازه ارسال به سمت سرور را پیدا می کنند. یکی از نکات مهم در این رابطه این است که باید به صورت مرتب سنسور را آپدیت کنیم تا signature ها جدید را دریافت کند و توانایی مقابله با حملات جدید را پیدا کند. امروزه Signature-based IPS/IDS مهمترین روشی است که سنسورها از آن برای شناسایی ترافیک مخرب استفاده می کنند.
شناسایی ترافیک در این روش براساس سیاست های امنیتی شبکه شما مشخص می شود. به طور مثال سیاست های امنیتی سازمان شما اجازه استفاده از telnet را در یک بخش خاص از شبکه را نمی دهد. در نتیجه براساس این سیاست امنیتی شما یک rule تعریف می کنید و در آن مشخص می کنید اجازه عبور ترافیک با پورت 23 به سمت یک بخش خاص شبکه وجود ندارد و IPS با استفاده از این rule می تواند برای ما alert ایجاد کند و بسته های آنرا drop کند.
در این روش رفتار معمول شبکه در نظر گرفته می شود و غیر از این شرایط به عنوان رفتار غیر مجاز در نظر گرفته می شود. به طور مثال تعداد درخواست های TCP بدون پاسخ در واحد زمان مشخص می شود که به آن اتصالات نیمه باز (half-opened session) گفته می شود. اگر مقدار این اتصالات نیمه باز از مقدار مشخص شده بیشتر شود سنسور آنرا تشخیص می دهد و اقدام به تولید هشدار و drop کردن بسته می کند. سنسور با استفاده از این روش می تواند موفق به شناسایی worm ها شود و جلوی تکثیر آنرا بگیرد.
این روش شناسایی براساس شهرت و خوشنامی انجام می گیرد. در این روش اطلاعات از تمام دستگاه های دنیا که در global correlation شرکت کرده اند جمع آوری می شود و سنسور ما می تواند از این اطلاعات استفاده کند ، این اطلاعات می تواند شامل IP های مسدود شده ، URLs , DNS domains و ... که به عنوان مبدا حمله شناسایی شده باشند. سرویس Global correlation توسط سیسکو به عنوان یک سرویس ابری مدیریت می شود.
در اینجا مزایا و معایب این روش ها عنوان داده شده است :