تشخیص ناهنجاری، تغییر رفتار

دانلود پایان نامه ارشد

بهترین نحو صورت گرفته و تعادل بار صورت میگیرد. با این حال، هر کدام از حسگرها باید جداگانه عملیات پیش پردازش و حذف بستههای زائد را انجام دهد که اتلاف منابع را نسبت به روشهای دیگر در پی دارد.
4) موازی سازی در سطح اجزا: در این روش اجزای ساختاری سیستم تشخیص نفوذ در چند حسگر قرار میگیرد. این حسگرها به صورت مجزا و با امکانات پردازشی در اختیار خود کار میکنند. برای مثال دو عملیات طبیعی که در IDSها صورت میگیرد شامل رمزگشایی116 بستهها، پیش پردازش و تطابق چند الگویی است. فرض کنید حسگر اول بستههای قطعهای را سرهم بندی کرده و آنها را بر اساس پروتکل لایه انتقال و شبکه دسته بندی میکند. حسگر دوم عملیات پیش پردازش و بازسازی جریانهای لایه انتقال را انجام میدهد و حسگر بعدی اعمال قوانین و کشف الگوهای حمله را بر عهده دارد. اعمال هشدارها به پایگاه داده و ارتباطات خارجی هم در حسگر چهارم صورت میگیرد.
2-3-4- انواع روشهای تشخیص حمله
ابزارهای تشخیص نفوذ از روشهای مختلفی برای تشخیص انواع مختلف حملات استفاده میکنند. این روشها را میتوان در سه کلاس مبتنی بر امضا، تشخیص ناهنجاری و مبتنی بر تحلیل حالت پروتکل ارتباطی دسته بندی کرد[3].
2-3-4-1- روشهای مبتنی بر امضا
امضا یا ویژگی عبارت است از الگوی مربوط به یک عملیات مشخص. برای مثال میتوان به این موارد اشاره کرد:
• ایمیلهایی با عنوان «تصاویر رایگان» که در ضمیمه آن یک فایل اجرایی با اسم “freePics.exe” قرار داشته باشد، میتواند نشانه یک نفوذ شناخته شده باشد.
• وجود یک فرمان اجرایی در بسته که برای افزایش سطح دسترسی به سیستم مورد نظر ممکن است مورد استفاده قرار گیرد. مانند فرمان دسترسی root
روش تشخیص مبتنی بر امضا عبارت است از مقایسه الگوی رفتارهای در جریان در شبکه با نمونههای مشاهده شده به منظور مشخص کردن امکان بروز حملات. این روش تشخیص حملات در برابر طیف حملات شایع و شناخته شده بسیار موثر و نتیجه بخش است. لکن با توجه به انواع مختلف حملات و الگوهای رفتاری متنوعی که میتواند توسط مهاجمین به کار گرفته شود، بازدهی این روش محدود میشود. به عنوان نمونه در مثال ایمیلهایی که ضمیمه فایل اجرایی داشتند، چنانچه نام فایل اجرایی ضمیمه به “FREEPics.exe” تغییر یابد، این روش قادر به تشخیص این نوع نفوذ نخواهد بود.
روش تشخیص مبتنی بر امضا ساده ترین روش تشخیص حملات به شبکههای کامپیوتری میباشد، زیرا در این روش فقط فعالیت در جریان فعلی مورد بررسی قرار میگیرد. مانند فرآیند آخرین بسته دریافتی یا گزارش آخرین فعالیت صورت گرفته. در این عملیات با استفاده از روشهای مقایسه رشتههای حرفی، مقایسهای با لیستی از الگوهای موجود صورت میگیرد. این روش کارآیی اندکی در مقابل ارتباطات پیچیده تری که طی چند مرحله صورت میگیرند و در هر مرحله در وضعیت خاصی به سرمی برند، دارد. این روشها قادر نیستند درخواست ارسال شده را با پاسخ مربوط به آن کنار هم قرار دهند. برای مثال قادر نیستند در یک ارتباط وب درخواست HTTP ارسالی را با پاسخ مربوط به آن با هم در نظر بگیرند. این روشها همچنین قادر نیستند درخواستهای قبلی یک کاربر را با درخواستهای فعلی او با هم در نظر بگیرند. حفظ نکردن وضعیت، محدودیتهای جدی به همراه دارد. این روشها در مقابل حملاتی که از چند مرحله تشکیل شدهاند و مبتنی بر یک سری رخداد پیاپی هستند ناکامند، مگر اینکه هر کدام از مراحل شامل نشانه و یا الگوی مشخصی، دال بر بروز حمله داشته باشند.
2-3-4-2- روشهای تشخیص حمله مبتنی بر ناهنجاری
روشهای مبتنی بر تشخیص ناهنجاری عبارت است از مقایسه شرایط عادی سیستم با شرایط مشاهده شده، به منظور تشخیص تفاوتهای جدی که معمولا در صورت بروز حملات رخ میدهد. سیستمهایی که بر اساس این روشها عمل میکنند، دارای سابقههای مستندی هستند که نمود وضعیت اجزای مختلف سیستم در وضعیت عادی است. وضعیت ارتباطات، تعداد مشترکین، وضعیت رفتاری و درخواستهای معمول مشترکین و نیز مناسبات نرمافزاری و سختافزاری در جریان از آن جملهاند. این سابقهها با بررسی و ثبت عملکرد کاربران و وضعیت سیستم در یک دوره زمانی مشخص به دست میآیند. برای مثال این مستندات ممکن است نشان دهند که استفاده از وب در حدود 40 درصد فعالیت کاربران شبکه و نیز پهنای باند در دسترس را نشان میدهد. ابزار تشخیص نفوذ بر اساس روشهای ایستایی ویژگیهای وضعیت فعلی را اندازه گیری میکند و با حدود آستانهای که در سابقه سیستم ثبت شدهاست مقایسه میکند. برای مثال ممکن است نسبت ترافیک وب از حد بالای آستانه بیشتر شود. همچنین پارامترهای دیگری میتوانند مورد بررسی قرار بگیرند. از آن جمله میتوان تعداد ایمیلهای ارسالی و یا دریافتی، تعداد دفعات تلاش برای وارد کردن رمز و ورود به سیستم و یا درصد به کارگیری پردازنده در یک دوره زمانی اشاره کرد.
به عنوان یک نمونه دیگر از به کار گیری این روشها میتوان به تشخیص حملات سرریز اشاره کرد. در حالت عادی بعد با توجه به مراحل دست دهی سه گانه TCP، به طور معمول باید تعداد بستههای درخواست ایجاد ارتباط با پرچم SYN با بستههای پاسخ ارتباط TCP که دارای پرچمهای SYN و Ack هستند، برابر باشند. در صورتی که تعداد بستههای نوع نخست افزایش فزآیندهای نسبت به نوع دوم داشته باشد، این نشانه میتواند دلیلی بر بروز حملات DoS باشد.
مزیت عمده روشهای مبتنی بر تشخیص ناهنجاری این است که میتواند با صرف کمترین هزینه، انواع مختلف و ناشناختهای از حملات را که الگوی آنها قبلا مشاهده نشده را تشخیص دهد. برای مثال حملاتی که در آنها پردازنده سرور مشغول میشود، یا آنکه تعداد زیادی ایمیل فرستاده میشود، یا تعداد زیادی ارتباط بی مورد برای مشغول نگه داشتن سرور به سمت آن ایجاد میشود، با این روش قابل تشخیصاند.
سابقه سیستم مورد استفاده در این سیستمها در یک فاز آموزش، که ممکن است روزها و یا هفتهها ادامه داشته باشد، ثبت و بررسی میشود. این پروندهها میتوانند به صورت ثابت باشند، یا در طول زمان به صورت تطبیقی تغییر داده شوند. در روش اول اطلاعات ثابت باقی میمانند مگر آنکه به طور صریح از طرف مدیر سیستم، فاز آموزش از سرگیری شود. به این دلیل که رفتارها و پارامترهای وضعیتی سیستمها دارای توزیعی نرمال هستند و در طول زمان تغییر میکنند. در روش پروفایلهای تطبیقی مشکل کمتری به مرور زمان پیش میآید. لکن این امکان وجود دارد که حمله کننده با صرف زمان، به مرور و مرحله به مرحله تغییرات مورد نظر راایجاد کند و با گذشت زمان این رفتار برای سیستم تشخیص نفوذ تغییر رفتار عادی جلوه کند. از دیگر مشکلات سیستمهای مبتنی بر ناهنجاری این است که ممکن است در فاز آموزش، سیستم حمله کننده وضعیت مطلوب خود را در سابقه سیستم ثبت کند. باید پذیرفت که رفتارهای این چنینی با احتمال زیاد در سابقه سیستم ثبت میشوند.
از دیگر مسائل مربوط به روشهای تشخیص مبتنی بر ناهنجاری این است که به خاطر پیچیدگی و تنوع رفتارهای مختلفی که در یک شبکه ممکن هستند، اولا ایجاد این سابقه به دقت زیادی نیاز دارد، ثانیا تشخیص دقیق علت بروز ناهنجاری ممکن نیست. ممکن است عملیات بروز رسانی سیستم که نیازمند انتقالات داده و ارتباطات زیادی است در فاز آموزش دیده نشود. به این ترتیب در زمان کار سیستم راه اندازی چنین تغییراتی به خودی خود موجب اخطارات بی مورد و غلط میشود. در حالاتی که سیستم اخطار تولید میکند، بررسی اینکه اخطار، دلیل درست و موجهی دارد دشوار است. از سوی دیگر تعیین نوع حمله و روزنه امنیتی آسیب پذیر در مقابل حمله، بر اساس پارامترهای اندازه گیری شده کاری دشوار است. بسیاری حملات ممکن است بدون نیاز به تغییرات اساسی در وضعیت سیستم، به نقاط ممنوعه آن وارد شده و اطلاعات را تخریب یا سرقت کنند. لکن با توجه به اینکه تغییرات اساسی در وضعیت سیستم رخ نداده است، تشخیص این حملات بر اساس این روشها دشوار و یا ناممکن است.
2-3-4-3- روشهای مبتنی بر تحلیل حالت پروتکل ارتباطی
این روش به فرآیندی گفته میشود که طی آن روند رخدادهایی که در جریان ارتباطهای مختلف به وقوع میپیوندند، با نمونههای سلسله رخداد مربوط به پروتکلهای مناسب و غیر مهاجم مقایسه میشوند تا در صورتی که مجموعه رخدادهای در جریان، ناشناس و یا مشکوک تشخیص داده شود، سیستم آن را تشخیص دهد. برخلاف روش مبتنی بر تشخیص ناهنجاری که بر سابقه رفتارهای شبکه خاص تکیه داشت، در اینجا پروفایلهای مورد بررسی مربوط به پروتکلهای خوش تعریف، جامع و مشخصی است که کاملا شناخته شده هستند و روند اجرای آنها مشخص است و هر گونه تخطی از کاربرد درست آنها میتواند یک رخداد مشکوک به تجاوز به شبکه باشد. کاربرد روشهای مبتنی بر پروتکل به این معنی است که ابزار تشخیص نفوذ قادر به فهم و تشخیص و پیگیری روند اجرای پروتکلهای لایه انتقال و کاربرد میباشد.
برای مثال در یک ارتباط FTP که در دو مد قابل انجام است، در مد کاربران غیر مجاز فقط اقداماتی از قبیل مشاهده لیست راهنما و وارد کردن نام کاربری و شناسه عبور مجاز است. در این وضعیت ابزار تشخیص نفوذ میتواند زوج درخواست کاربر و پاسخ سرور را با هم مطابقت دهد و مشخص کند که آیا هر کدام از درخواستهای کاربر برای وارد شدن به سیستم موفق بوده است یا نه. به محض اینکه شناسه کاربر تایید شد و کاربر به سیستم وارد شد، کاربر قادر به انجام اقدامات مختلف میباشد. صدور هر یک از فرامین مربوط به کاربران وارد شده به سیستم از سوی کاربری که هنوز وارد سیستم نشده است میتواند مشکوک به یک فعالیت مخرب در جهت نفوذ به سیستم باشد. در روش تشخیص نفوذ مبتنی بر پروتکل امکان پیگیری روند ارسال فرمانها از کاربران وجود دارد؛ به این ترتیب فرامین نامربوط قابل تعقیبند. برای مثال صدور فرمانهایی خارج از روند پروتکل و یا ارسال پیغامهای مربوط به یک فاز پروتکل به دفعات متعدد. این سیستمها همچنین قادرند بر اساس کلاسهای کاربری مختلف و تعیین سطح دسترسی آنها، فعالیت آنها را پیگیری کنند.
همچنین روند بررسی طول دستورات و آرگومانها میتواند به صورت مجزا بر روی هر کدام از دستورات پروتکلی لایه کاربرد صورت گیرد. هر کدام از دستورات تعداد آرگومانهای مشخص دارند که طول آنها مشخص است. برای مثال دستوری میتواند 2 آرگومان با حداکثر طول 20 کاراکتر داشته باشد. در صورتی که تعداد آرگومانها و یا طول آنها مثلا دستوری با طول از این حد تخطی کند، میتواند نشانه یک اقدام مشکوک باشد.
روشهای مبتنی بر تحلیل پروتکل بر اساس مدلهای پروتکلی استانداردی که توسط توسعه دهندگان نرمافزارهای شبکه معرفی میشوند، و یا استانداردهای اینترنتی مشخص ثبت شده صورت میگیرد. در بسیاری از موارد جزئیات دقیق پروتکل به طور دقیق در مستندات مربوطه آورده نمی شود. در بسیاری از موارد، توسعه دهندگان نرمافزار با تخطی از مستندات پروتکل، در پیاده سازیهای مختلف ویژگیهای خاصی بر اساس نیاز به پیاده سازی پروتکل اضافه میشود. در بعضی موارد در مورد پروتکلهایی که کاربرد خصوصی دارند و در انحصار مالک هستند اطلاعات دقیقی در دسترس نیست.
در تمام موارد ذکر شده، بعد از بروز رسانی پروتکلها و یا معرفی پروتکلهای جدید مدل پروتکلی ابزار تشخیص نفوذ باید بر اساس تغییرات صورت گرفته بروز رسانی شود. با این حال مهمترین ایراد روشهای مبتنی بر پروتکل این است که این روشها به منابع سختافزاری و نرمافزاری زیادی نیاز دارند. پیچیدگی تحلیل پروتکلهای متعدد و نگهداری وضعیت و پیگیری روند اجرای مربوط به هر کدام از مراودات پروتکلی در جریان، سربار زیادی را به سیستم تحمیل میکند. مشکل جدی دیگر این است که این روشها برای تشخیص حملاتی که بر اساس الگوهای پروتکلی استاندارد عمل میکنند دچار مشکل هستند؛ مانند حملاتی که باایجاد تعداد زیادی ارتباط پروتکلی صورت میگیرند و با مشغول کردن سرور و گرفتن منابع آن در وضعیت انتظار صورت میگیرند (حملات جلوگیری از سرویس گیری). گذشته از اینها در مواردی که ارتباط خدمتگزار و مشتری بر اساس پیاده سازی خاص پروتکل صورت گیرد یا آنکه پیغامها رمز شده

پایان نامه
Previous Entries سیستمهای توزیع شده، انواع ارتباطات، مدیریت ارتباط Next Entries سیستمهای مدیریت، مدیریت شبکه، قابلیت اطمینان